Назначение прав доступа к файловой системе.

Устанавливая пользователям определенные разрешения (permissions) на доступ к файлам и каталогам (папкам), администраторы системы могут защищать конфиденциальную информацию от несанкционированного доступа. Каждый пользователь должен иметь определенный набор разрешений на доступ к конкретному объекту файловой системы. Кроме того, он может быть владельцем файла или папки, если сам их создает. Администратор может назначить себя владельцем любого объекта файловой системы (файла или папки). Следует, однако, помнить, что обратная передача владения от администратора к пользователю невозможна. Администратор должен зарегистрироваться в системе под именем того пользователя, которому он хочет передать владение файлом или папкой, а затем стать владельцем нужного объекта.

Разрешения пользователя на доступ к объектам файловой системы работают по принципу дополнения (аддитивности). Это значит, что действующие разрешения, т. е. те разрешения, которые пользователь реально имеет в отношении конкретного каталога или файла, образуются из всех прямых и косвенных разрешений, назначенных пользователю для данного объекта с по- мощью логической функции ИЛИ. Например, если пользователь имеет прямо назначенное разрешение для каталога на чтение, а косвенно через членство в группе ему дано разрешение на запись, то в результате пользователь сможет читать информацию в файлах каталога и записывать в них данные. Следует все же заметить, что правило сложения разрешений с помощью логического ИЛИ не выполняется, когда пользователь имеет определенное разрешение, а группе, в которую он входит, отказано в этом разрешении (или наоборот). В этом случае отказ в разрешении (Deny) имеет более высокий приоритет над предоставлением разрешения, т. е. в результате пользователь не будет иметь данного разрешения. Появление возможности отказа пользователю или группе в разрешении для файлов и каталогов сделало ненужным разрешение Нет доступа (No Access), применявшееся в Windows NT 4.0. Теперь для отказа пользователю в разрешении на доступ к ка- кому-либо файлу или папке следует включить пользователя в группу, которой отказано в разрешении Полный доступ (Full Control) для данного объекта файловой системы.

Внимание! В версиях Windows XP Professional и Windows XP Home Edition для разграничения прав доступа к файлам и папкам используется один и тот же механизм, реализованный на уровне файловой системы NTFS. Однако в Windows XP Home Edition все возможности непосредственного просмотра разрешений и управления ими скрыты, и применяются упрощенные механизмы разграничения доступа к личной информации пользователей. В системе Windows XP Home Edition пользователи могут создавать файлы и папки на любых логических дисках. По умолчанию пользователи могут изменять свои (созданные ими) файлы и читать чужие. Каждый пользователь имеет собственную папку, ее имя в Проводнике отображается как Документы - <имяПользователя> (<имяПользователя>'з Documents), например, документы-Алексеи (Aleksey's Documents). Пользователь может сделать эту папку личной, т. е. невидимой (и, следовательно, недоступной) для других пользователей. Для этого в окне свойств папки на вкладке Доступ (Sharing) нужно установить флажок Отменить общий доступ к этой папке (Make this folder private) (см. рис. 3.12). В этом случае у папки будет удалено разрешение Чтение (Read) для группы Пользователи (Users).