Pregled sistema pravic nad NTFS 7

Iz MaFiRaWiki

Vsebina

Datotečni sistem NTFS (New Technology File System)

Datotečni sistem NTFS (New Technology File System), ki se je pojavil skupaj z operacijskim sistemom Windows NT v začetku devedesetih let, je v sistemu Windows 7 prednostni datotečni sistem. V primerjavi s starejšim datotečnim sistemom FAT32 ima številne prednosti, na primer: - možnost samodejnega obnavljanja po nekaterih napakah, povezanih z diskom, - boljša podpora za večje trde diske, - boljša varnost (saj lahko z dovoljenji in šifriranjem se lahko omeji dostop do določenih datotek le na nekatere uporabnike). Particijo je po navadi iz drugega datotečnega sistema mogoče pretvoriti v NTFS. Datotečni sistem NTFS omogoča večjo učinkovitost delovanja in varnost podatkov na trdih diskih in particijah ali nosilcih kot datotečni sistem FAT, ki se uporablja v nekaterih starejših različicah sistema Windows.

Koncept

Da bi lahko zaščitili računalnik in podatke na njem, je potrebno upoštevati pravice, ki jih bodo imeli uporabniki. Računalnik ali računalniško mrežo lahko zaščitimo tako, da uporabnikom ali uporabniškim skupinam dodelimo specifična uporabniška dovoljenja. K varovanju map in/ali datotek lahko dodatno pripomoremo tako, da uporabnikom in uporabniškim skupinam dodelimo pravice za izvajanje specifičnih opravil na določeno mapo/datoteko.

Lastništvo

Vsak predmet ima lastnika, ne glede na to, ali je v NTFS prostoru ali v ADDS (Active Directory Domain Services). Lastnik nadzira katera dovoljenja se uveljavljajo na datoteki/mapi in komu so ta dovoljenja dodeljena. Vkolikor želi administrator popraviti ali zamenjati dovoljenja nad datoteko, mora najprej prevzeti lastništvo nad datoteko. Privzeto je, da je lastnik datoteke tisti, ki je datoteko ustvaril, zato lahko lastnik vedno spremeni dovoljenja nad predmetom, tudi tedaj, ko je lastniku onemogočen ves dostop do predmeta.

Lastništvo nad datoteko / mapo lahko prevzame: - administrator (privzeto je, da ima administratorska skupina uporabniško pravico do prevzemanja lastništva nad datotekami ali drugimi objekti). - vsak uporabnik ali uporabniška skupina, ki ima dovoljenje za prevzem lastništva in - uporabnik, ki ima uporabniško pravico do ponovnega shranjevanja datotek in map

Lastništvo nad datotekami ali mapami se lahko prenese na sledeče načine: -Trenutni lastnik lahko dodeljuje dovoljenje za prevzem lastništva tudi drugemu uporabniku, če je slednji član skupine, ki je določena v trenutnem lastnikovem žetonu. Uporabnik mora prevzeti lastništvo, če želi zaključiti s prenosom. - Lastništvo lahko prevzame administrator - Uporabnik, ki ima uporabniško pravico za shranjevanje datotek in map, lahko z dvojnim klikom na Drugi uporabniki in skupine izbere bilo katerega uporabnika ali skupino, katerim želi dodeliti lastništvo.

Dovoljenje za prevzem lastništva nad določenim dokumentom ali pravica uporabnika do shranjevanja datotek in map sta minimalna zahtevka za izvedbo postopka prevzema lastništva.


Prevzem lastništva

Za prevzem lastništva nad datoteko ali mapo je potrebno izvesti naslednje korake:

1. V Windows Explorer-ju, poiščemo mapo/datoteko, nad katero bi radi prevzeli lastništvo 2. Z desnim gumbom miške kliknemo na datoteko/mapo, izberemo Lastnosti, kliknemo na zavihek Varnost. 3. Kliknemo Napredno, izberemo zavihek Lastnik 4. Kliknemo Uredi, zatem pa naredimo enega od naslednjih korakov: a. Za spremembo lastnika v uporabniško skupino, ki je ni na seznamu, izberemo Drugi uporabniki in skupine ter v Vnesi ime objekta za izbor (primeri), vnesemo ime uporabnika ali uporabniške skupine, zatem kliknemo OK. b. Če želimo spremeniti lastnika v uporabnika ali skupino, ki je na seznamu, kliknemo novega uporabnika v okvirček Spremeni lastnika na 5. (Opcija) Za spremembo lastnika vsem podvsebinam in objektom znotraj drevesa, izberemo okvirček Zamenjaj lastnika na podvsebine in objekte


  Slika:Prva slika.PNG     Slika:Slika_2.PNG



  Slika:Slika_3.PNG     Slika:Slika_4.PNG


  Slika:Slika_5.PNG     Slika:Slika_6.PNG



Dovoljenja

Dovoljenja so pravila, ki so povezana s predmeti v računalniku ali omrežju, kot so datoteke in mape. Dovoljenja določajo, ali lahko do predmeta dostopamo in kaj lahko z njim počnemo. Lahko imamo na primer omogočen dostop do dokumenta v mapi v skupni rabi ali do dokumenta v omrežju. Čeprav bomo dokument lahko brali, pa morda ne bomo imeli dovoljenj, da ga spreminjamo. Posameznim uporabnikom ali skupinam lahko dovoljenja dodelijo Skrbniki sistema (Administratorji) in osebe, ki imajo v računalnikih skrbniški račun.Dovoljenja določajo vrsto dostopa, ki je dodeljen uporabniku ali uporabniški skupini za lastništvo določene mape/datoteke.


Nivoji dovoljenj

Za datoteke in mape so na voljo različni nivoji dovoljenj: - Poln nadzor (uporabniki lahko vidijo vsebino mape ali datoteke, spreminjajo obstoječe datoteke in mape, ustvarjajo nove datoteke in mape ali zaganjajo programe v mapi) - Spreminjanje (uporabniki lahko spreminjajo obstoječe datoteke in mape, ne morejo pa ustvarjati novih). - Branje in izvajanje (uporabniki lahko vidijo vsebino obstoječih datotek in map ter lahko zaganjajo programe v mapi). - Branje (uporabniki lahko vidijo vsebino mape ter odpirajo datoteke in mape) - Pisanje (uporabniki lahko ustvarjajo nove datoteke in mape ter spreminjajo obstoječe datoteke in mape)


Windows samodejno uporabi dovoljenja za datoteke ali mape glede na nastavitve uporabniškega računa in glede na varnostno skupino, v kateri je uporabniški račun. Če dovoljenja za mapo ali datoteko uporabimo ročno, lahko pridejo v spor z obstoječimi dovoljenji, kar lahko privede do neželenih rezultatov. Ročno uveljavljanje dovoljenj je namenjeno le izkušenim uporabnikom. Če skuša nekdo dostopiti do datoteke ali mape v skupni rabi, pri tem pa se mu prikazujejo sporočila o zavrnjenem dostopu, lahko izkušen uporabnik ročno spremeni dovoljenja datoteke ali mape.


Dedovanje pravic

Dedovanje pravic dovoljuje administratorju, da enostavneje dodeljuje in upravlja z dovoljenji. Ta funkcija avtomatično povzroča, da predmeti znotraj mape podedujejo vsa dovoljenja te mape, ki se jih lahko deduje. Na primer – ko ustvarimo datoteke znotraj ene mape, avtomatsko podedujejo dovoljenja, ki veljajo za to mapo. Dedujejo se le dovoljenja, ki so označena za dedovanje.


Elementarne pravice

Dovoljenja so združena z namenom, da bi bilo dodeljevanje pravic uporabnikom lažje. Te skupine se imenujejo "osnovne/elementarne" pravice. Spodnja tabela prikazuje, katera dovoljenja so dodeljena elementarnim pravicam:


Slika:Slika 7.PNG

Posebna dovoljenja

Dovoljenja, ki jih lahko nastavimo na mape in datoteke so odvisna od tega, na kakšen način dostopamo vanje. Ta dovoljenja imenujemo »posebna« zato, ker se pojavljajo v pogovornem oknu »Dodatno«. Do njih pridemo preko poti  »Lastnosti / Varnost / Dodatno«.


Med posebna dovoljenja spadajo:


Poln nadzor

Z dovoljenjem Poln nadzor lahko uporabnik dodeljuje dovoljenja in pravice drugim uporabnikom nad datotekami oziroma mapami, ki jih sami ustvarijo.


Prečkanje mape / izvajanje datoteke

Dodatno dovoljenje Prečkanje mape omogoča ali prepoveduje premikanje preko omejene mape do posameznih datotek in map v okviru omejene mape v hierarhiji map. Dodatno dovoljenje Prečkanje mape začne veljati šele, ko je bila skupini ali uporabniku dodeljenja pravica Obvoza pri preverjanju dovoljenja za prečkanje mape (“Bypass traverse checking user”) v okviru Group policy (Pravilnik o uporabniških skupinah). To dovoljenje ne omogoča samodejnega delovanja programske datoteke.

Dodatno dovoljenje Izvajanje datoteke omogoča ali zavrača delovanje programske (izvršljive) datoteke.


Naštevanje map/branje podatkov

Dodatno dovoljenje Naštevanje map omogoča ali zavrača ogled imena datotek in podmap znotraj mape. Naštevanje map vpliva le na vsebino te mape in ne vpliva na to, ali bo mapa, na katero želimo nastaviti dovoljenje, navedena v seznamu ali ne.

Dodatno dovoljenje Branje podatkov omogoča ali zavrača ogled/branje podatkov v datotekah.


Atributi za branje

Dodatno dovoljenje Atributi za branje dovoljuje ali zavrača/prepoveduje ogled atributov datoteke ali mape (na primer »samo za branje«  in  »skrito«).


Branje razširjenih atributov

Dodatno dovoljenje Branje razširjenih atributov dovoljuje ali zavrača/prepoveduje branje razširjenih atributov datoteke ali mape. Razširjeni atributi so definirani s strani programov in se lahko od programa do programa razlikujejo.


Ustvarjanje datotek/pisanje podatkov

Dodatno dovoljenje Ustvarjanje datotek dovoljuje ali zavrača/prepoveduje ustvarjanje datotek znotraj mape.

Dodatno dovoljenje Pisanje podatkov pa dovoljuje ali zavrača/prepoveduje spreminjanje datoteke in pisanje čez obstoječo vsebino.


Ustvarjanje map/dodajanje podatkov

Dodatno dovoljenje Ustvarjanje map dovoljuje ali zavrača/prepoveduje ustvarjanje podmap znotraj mape.

Dodatno dovoljenje Dodajanje podatkov dovoljuje ali zavrača/prepoveduje spreminjanje končnega dela datoteke, ne pa tudi spreminjanja, brisanja ali pisanja čez obstoječe podatke.


Atributi za pisanje

Dodatno dovoljenje Atributi za pisanje dovoljuje ali zavrača/prepoveduje spreminjanje atributov datoteke ali mape (na primer »samo za branje« ali »skrito«). To dovoljenje ne pomeni dovoljenja za ustvarjanje ali brisanje datotek ali map, ampak obsega samo dovoljenje do spreminjanja atributov za obstoječe datoteke oziroma mape.


Pisanje razširjenih atributov

Dodatno dovoljenje Pisanje razširjenih atributov dovoljuje ali zavrača/prepoveduje spreminjanje razširjenih atributov datoteke ali mape. Razširjeni atributi so definirani s strani programov in se lahko od programa do programa spreminjajo. Dovoljenje ne vključuje ustvarjanja ali brisanja datotek in map, obsega le dovoljenje za spreminjanje razširjenih atributov že obstoječi datoteki oziroma mapi.


Brisanje podmap in datotek

Dodatno dovoljenje za Brisanje podmap in datotek dovoljuje ali zavrača/prepoveduje brisanje podmap in datotek, tudi v primeru, če dovoljenje za Brisanje določeni podmapi oziroma datoteki ni bilo dodeljeno.


Brisanje

Dodatno dovoljenje za Brisanje dovoljuje ali zavrača/prepoveduje brisanje datoteke ali mape. V primeru, da uporabnik nima dovoljenja za Brisanje določenih datotek ali map, jo lahko briše v primeru, da mu je bilo dodeljeno dovoljenje za Brisanje podmap in datotek nad nadrejeno mapo.


Dovoljenja za branje

Dodatno dovoljenje Dovoljenja za branje dovoljuje ali zavrača/prepoveduje dovoljenja za branje datotek ali map.


Spreminjanje dovoljenj

Dodatno dovoljenje Spreminjanje dovoljenj dovoljuje ali zavrača/prepoveduje spreminjanje dovoljenj nad določeno datoteko ali mapo.


Prevzem lastništva

Dodatno dovoljenje Prevzem lastništva dovoljuje ali zavrača/prepoveduje prevzem lastništva nad določeno datoteko ali mapo. Lastnik datoteke ali mape lahko kadarkoli spremeni dovoljenja, ki so datoteki oziroma mapi dodeljena, ne glede na to, ali že obstaja kakršnokoli dovoljenje, ki to datoteko ali mapo ščiti.

Osebna orodja