На просторах России много фирм и мелких предприятий не имеют в штате своего системного администратора на постоянной основе или приходящего время от времени. Фирма растёт и рано или поздно одной расшаренной папки в сети, где каждый может делать что захочет, становится мало. Требуется разграничение доступа для разных пользователей или групп пользователей на платформе MS Windows. Линуксоидов и опытных админов просьба не читать статью.
Самый лучший вариант — взять в штат опытного админа и задуматься о покупке сервера. Опытный админ на месте сам решит: поднимать ли MS Windows Server с Active Directory или использовать что-то из мира Linux.
Но данная статья написана для тех, кто решил пока мучаться самостоятельно, не применяя современные программные решения. Попытаюсь объяснить хотя бы как правильно реализовывать разграничение прав.
Прежде чем начать хотелось бы разжевать пару моментов:
- Любая операционная система «узнаёт» и «различает» реальных людей через их учётные записи. Должно быть так: один человек = одна учётная запись.
- В статье описывается ситуация, что в фирме нет своего админа и не куплен, к примеру, MS Windows Server. Любая обычная MS Windows одновременно обслуживает по сети не более 10 для WinXP и 20 человек для Win7. Это сделано фирмой Microsoft специально, чтобы клиентские Windows не перебегали дорогу серверам Windows и вы не портили бизнес Microsoft. Помните число 10-20 и когда в вашей фирме будет более 10-20 человек, вам придётся задуматься о покупке MS Windows Server или попросить кого-либо поднять вам бесплатный Linux Samba сервер, у которого нет таких ограничений.
- Раз у вас нет грамотного админа, то ваш обычный комп с клиентской MS Windows будет изображать из себя файловый сервер. Вы вынуждены будете продублировать на нём учётные записи пользователей с других компьютеров, чтобы получать доступ к расшаренным файлам. Другими словами, если есть в фирме ПК1 бухгалтера Оли с учётной записью olya, то и на этом «сервере» (именую его в дальнейшем как WinServer) нужно создать учётную запись olya с таким же паролем, как и на ПК1.
- Люди приходят и уходят. Текучесть кадров есть везде и если вы, тот бедный человек, который не админ и назначен (вынужден) поддерживать ИТ вопросы фирмы, то вот вам совет. Делайте учётные записи, не привязанные к личности. Создавайте для менеджеров — manager1, manager2. Для бухгалтеров — buh1, buh2. Или что-то подобное. Ушёл человек? Другой не обидится, если будет использовать manager1. Согласитесь это лучше, чем Семёну использовать учётную запись olya, так как влом или некому переделывать и уже всё работает 100 лет.
- Забудьте такие слова как: «сделать пароль на папку». Те времена, когда на ресурсы накладывался пароль давным давно прошли. Поменялась философия работы с различными ресурсами. Сейчас пользователь входит в свою систему с помощью учётной записи (идентификация), подтверждая себя своим паролем (аутентификация) и ему предоставляется доступ ко всем разрешённым ресурсам. Один раз вошёл в систему и получил доступ ко всему — вот что нужно помнить.
- Желательно выполнять нижеперечисленные действия от встроенной учётной записи Администратор или от первой учётной записи в системе, которая по умолчанию входит в группу Администраторы.
Приготовление.
В Проводнике уберите упрощённый доступ к нужным нам вещам.
Урок #27. Разграничение доступа к данным для разных учетных записей Windows 7
Общий доступ к папкам и дискам Windows 10 — как настроить
- MS Windows XP. Меню Сервис — Свойства папки — Вид. Снять галочку Использовать мастер общего доступа
- MS Windows 7. Нажмите Alt. Меню Сервис — Параметры папок — Вид. Снять галочку Использовать простой общий доступ к файлам.
Создайте на вашем компьютере WinServer папку, которая будет хранить ваше богатство в виде файлов приказов, договоров и так далее. У меня, как пример, это будет C:dostup. Папка обязательна должна быть создана на разделе с NTFS.
Доступ по сети.
На данном этапе нужно выдать в доступ по сети (расшарить — share) папку для работы с ней другими пользователями на своих компьютерах данной локальной сети.
И самое главное! Выдать папку в доступ с полным разрешением для всех! Да да! Вы не ослышались. А как же разграничение доступа?
Как дать доступ другим пользователям
Выделяют несколько различных способов, обеспечивающих общий доступ к файлам другим пользователям. Вот некоторые из них: создание сети компьютер-компьютер, конференц-зал, через сайты и файлообменники, через электронную почту, через съемный носитель. А также общий доступ напрямую к файлам — из папки «Общее» или из любой другой. Выбор способа определяется тем, кому будет открыт доступ, какой это предполагает уровень защиты и, соответственно, где лучше разместить данные папки.
Статьи по теме:
- Как дать доступ другим пользователям
- Как открыть доступ к папке
- Как открыть общую папку
Инструкция
Доступ из папки «Общее» применяют, если все файлы общего доступа хранятся в одном месте, отдельно от прочих документов и папок. Или же в том случае, когда в специальном разрешении для группы пользователей нет необходимости. Для этого достаточно скопировать всю информацию в папку «Общее» и снять запрет, установленный по умолчанию. Поскольку любой участник сети имеет доступ к просмотру содержимого папки, можно установить ограничение на изменение хранящейся информации или поставить пароль (если компьютер не в домене).
Доступ из любой папки целесообразен тогда, когда периодически происходит обновление и добавление файлов, для общего просмотра документов, медиа, изображений и т.д. Такой доступ необходим в том случае, если размер данных файлов велик и занимает дополнительное место при копировании в папку «Общее», когда нужно открыть доступ выделенной группе пользователей, ограничив его для остальных. Вы также можете персонифицировать пользователей (одного или группу), имеющих право вносить изменения определенного рода и установить пароль.
Для этого, укажите нужную папку, и нажмите «Общий доступ» на панели инструментов. Пропишите имя, группу или выберите «Все» и нажмите «Добавить» или создайте нового пользователя (новую учетную запись). Далее задайте степень разрешений: «Соавтор» или «Совладелец» (разрешено изменение и удаление), «Устройство чтения» (только просмотр). После этот разошлите ссылки с указанием пути доступа по электронной почте.
Источник: www.kakprosto.ru
Как стать владельцем файлов и папок — инструкция
При открытии, удалении или других манипуляциях с файлами и каталогам вы можете столкнуться с ошибкой доступа к файлам. Я расскажу о том, как с этим бороться и почему так происходит.
Как получить полный доступ к файлам и папкам
Сначала инструкция о том, как получить полный доступ к папкам и файлам. В следующей главе будет объяснение для любознательных.
Открываем каталог, где находится проблемный файл или папка. Чтобы получить полный доступ к их содержимому, нужно настроить доступ к файлам:
1. Нажимаем правой кнопкой мыши по заблокированному файлу (или папке) без доступа — Свойства — выбираем вкладку Безопасность:
2. Нажимаем кнопку Дополнительно — выбираем вкладку Владелец:
3. Нажимаем кнопку Изменить и выбираем имя вашего пользователя (в моем случае это Dima, у вас будет другое), также ставим галку на Заменить владельца подконтейнеров и объектов:
4. Если появится окно с текстом «Вы не имеете разрешение на чтение содержимого папки. Хотите заменить разрешения для этой папки так, чтобы иметь права полного доступа?», отвечаем Да:
5. После смены владельца папки появится окно с текстом «Вы только что стали владельцем этого объекта. Нужно закрыть и вновь открыть окно свойств этого объекта, чтобы видеть или изменять разрешения». Нажимаем OK, затем снова нажимаем OK (в окне Дополнительные параметры безопасности).
6. В окне Свойства — Безопасность снова нажимаем Дополнительно, только теперь смотрим первую вкладку открывшегося окна — Разрешения. Надо нажать кнопку Изменить разрешения:
7. Нажмите кнопку Добавить:
(Если вы работаете со свойствами папки, а не файла, отметьте галкой пункт «Заменить все разрешения дочернего объекта на разрешения, наследуемые от этого объекта». )
8. В открывшемся окне «Выбор: пользователи или группы» вам потребуется ввести имя вашего пользователя (можете посмотреть его в меню «Пуск» — имя будет самой верхней строчкой), нажать кнопку Проверить имена, затем OK:
Если вам нужно, чтобы папка (или файл) открывалась без ограничений абсолютно всеми пользователями, т.е. не только вашим, то снова нажмите Добавить и введите имя «Все» без кавычек («All» в англоязычной версии Windows), затем нажмите Проверить имена и OK.
9. На вкладке Разрешения по очереди нажимайте два раза по строчкам с именами пользователей и ставьте галку на пункт «Полный доступ»:
Это автоматически поставит галки на пунктах ниже.
10. Затем нажимайте ОК, в следующем окне отвечайте на предупреждение Да, снова ОК, чтобы закрыть все окна.
Готово! Полный доступ к файлам и каталогам получен! Можете спокойно их открывать, изменять и производить другие действия с ними.
Вывод: нужно сделать два шага: стать «владельцем» файла или каталога (п. 3), затем назначить себе права доступа (п. 6). Во многих инструкциях о том, как получить полный доступ к файлам и папкам, упоминают только первый шаг, забывая о втором. Это не совсем правильно, потому что настройки безопасности файла/папки могут быть разные, надо привести их в нормальный вид, а не только стать «владельцем».
Зачем нужны права файлам и папкам
Механизм разграничения доступа к файлам и папкам необходим по многим причинам. Например:
1. Ограничение доступа к информации разными пользователями.
Если на одном компьютере или в общей сети работает несколько (больше одного) пользователей, логично ограничить доступ к информации — одним пользователям доступна вся информация (чаще всего это администраторы), другим — только их собственные файлы и папки (обычные пользователи).
Например, дома можно сделать ограничение прав одного пользователя так, чтобы защитить важные файлы и папки от удаления (чтобы ребенок не смог по незнанию удалить важные документы), в то время как с другого (родительского профиля) можно было делать все, что угодно.
В первой главе я показал, как разрешить доступ определенным пользователям. Точно так же можно и ограничить доступ — шаги те же самые, только в пункте 9 надо ставить другие галочки.
2. Безопасность операционной системы.
В Windows XP все устроено довольно примитивно — пользователи с правами администратора могут изменять (и удалять) любые каталоги и файлы на жестком диске, в том числе системные, т.е. принадлежащие Windows. Фактически, любая программа, запущенная в профиле пользователя-администратора, могла сделать с содержимым жесткого диска всё, что угодно. Например, удалить файл boot.ini, из-за чего Windows перестанет загружаться.
Под правами ограниченного пользователя, где благодаря настройкам безопаности нельзя было удалять важные системные файлы, мало кто сидел, предпочитая администраторскую учетную запись. Таким образом, учетная запись с правами администратора в Windows XP создает самые благоприятные условия для вирусов.
В Windows Vista, в Windows 7 и Windows 8 работает «Контроль учетных записей пользователя» (кратко UAC): при работе в администраторской учетной записи программы, запускаемые пользователем, работают с ограниченными правами. То есть удалить или изменить системные файлы программы не могут. Программы способны получить более полный доступ, запросив его у пользователя с помощью окна UAC, о котором я уже рассказывал:
Если права доступа к файлам настроены правильно и UAC включен, то вирусы, запущенные в администраторской учетной записи Vista/7/8, не смогут серьезно навредить системе без разрешения человека, сидящему за компьютером.
UAC бесполезен в случаях:
1. Если за компьютером сидит пользователь, бездумно нажимающий кнопки «Да» и «OK»
2. Если запускать программы «от имени администратора» (правой кнопкой по ярлыку программы — Запустить от имени администратора).
4. Для системных файлов и папок на жестком диске разрешен полный доступ всем пользователям.
Советую почитать описание типов учетных записей Windows:
Программы, запущенные в учетной записи ограниченного пользователя Windows Vista/7/8 (тип «Обычный доступ»), не могут вызвать окно UAC и работать с правами администратора, что вполне логично.
Повторю еще раз: когда нет возможности повысить свои права до администраторских, навредить защищенным с помощью ограничения прав доступа файлам операционной системы нельзя.
Причины и решение проблем с доступом к файлам
Проблема в том, что вы пытаетесь получить доступ к файлам и папкам, созданных под другой учетной записью. Решения два: либо разрешить всем пользователям доступ, либо разрешить только тем, кому это нужно, перечислив их. Оба решения легко реализуемы по инструкции выше. Разница лишь в том, что вы будете вводить в пункте 8 — слово «Все» или перечисляя пользователей.
Кстати, можно разрешить доступ всем, но запретить одному (нескольким) пользователям, при этом настройка запрета будет приоритетной для перечисленных пользователей.
Причин возникновения проблем с доступом к файлам множество. Наиболее часто они появляются, если у вас несколько учетных записей, несколько операционных систем или компьютеров — везде учетные записи разные, при создании файлов и папок права назначаются тоже разные.
Что с правами файлов и папок делать нельзя
Ни в коем случае не назначайте полный доступ файлам и папкам на всем жестком диске с установленной операционной системой!
Существует миф о том, что операционная система ограничивает доступ пользователя к его файлам, поэтому надо назначать права доступа всем файлам на диске. Это неправда и изменять права всех файлов нельзя! В системе, в которой не «ковырялись», не назначали права доступа вручную, все назначено правильно!
Используйте мою инструкцию только в случае реально возникших проблем, не для предотвращения надуманных.
Поясняю: разрешив доступ к системным файлам, Windows по-прежнему будет работать, вот только любой вирус или некорректно работающая программа могут сделать очень нехорошие вещи. Вряд ли вам нужны проблемы.
Свои настройки безопасности имеют папки «C:Windows», «C:Program files», «C:Program files (x86)», «C:Users», «C:System Volume Information», «C:ProgramData», «C:Recovery» и многие другие. Их менять нельзя, за исключением случаев, если надо произвести какие-либо манипуляции с файлами (например, чтобы изменить тему Windows), причем надо вернуть настройки обратно.
Не меняйте настройки безопасности «просто так», делая систему беззащитной перед вирусами и сбоями! После установки Windows права доступа к системным папкам настроены правильно, не надо их менять!
Также не рекомендую запускать все программы «от имени администратора» — в этом режиме они имеют повышенные привилегии, поэтому имеют возможность навредить системе.
Совет: если программа корретно работает только в том случае, если запущена «от имени администратора», при обычном запуске выдавая ошибки — попробуйте назначить полные права на изменение папке с ней в «C:Program files» или «C:Program files (x86)» (не самой папке Program files, а папке с нужной программой внутри нее!).
Очень часто это помогает запустить на Windows Vista/7/8/10 старые игры, которые хранят файлы настроек, сохранений внутри своей папки. Будучи запущенными без прав изменить свои собственные файлы, такие игры в лучшем случае не могут сохранить игровой прогресс, в худшем — закрываются или вовсе не запускаются. Со старыми программами то же самое.
Выводы
1. Назначить права доступа относительно легко.
2. Права доступа менять без обоснованной цели нельзя.
3. Изменили права системных файлов — меняйте их обратно. Чтобы изменить права системных папок и файлов на прежние, можно воспользоваться этой инструкцией (метод для Windows Vista должен подойти и к Windows 7, Windows 8, 10).
4. Изменение настроек безопасности — дело тонкое и автор статьи не несет ответственности за ваши действия.
Источник: glashkoff.com