Oprávnění NTFS a sdílené složky se často používají v prostředích Microsoft Windows. Ačkoli oprávnění ke sdílení i oprávnění NTFS slouží ke stejnému účelu – zabránění neoprávněnému přístupu – existují důležité rozdíly, které je třeba pochopit, než určíte, jak nejlépe provést úlohu, jako je sdílení složky. Zde jsou uvedeny hlavní rozdíly mezi oprávněními ke sdílení a NTFS spolu s několika doporučeními, kdy a jak která z nich používat.

Co jsou oprávnění NTFS?

NTFS (New Technology File System) je standardní souborový systém pro operační systémy Microsoft Windows NT a novější; oprávnění NTFS se používají ke správě přístupu k datům uloženým v souborových systémech NTFS. Hlavní výhodou oprávnění sdílených souborů NTFS je, že se týkají jak místních uživatelů, tak uživatelů sítě, a že vycházejí z oprávnění přidělených jednotlivým uživatelům při přihlášení do systému Windows bez ohledu na to, odkud se uživatel připojuje.

Existují základní i rozšířená oprávnění systému NTFS. Každé z oprávnění můžete nastavit na „Povolit“ nebo „Odmítnout“ a řídit tak přístup k objektům NTFS. Zde jsou uvedeny základní typy přístupových oprávnění:

  • Plné řízení – uživatelé mohou přidávat, upravovat, přesouvat a odstraňovat soubory a adresáře i jejich přidružené vlastnosti. Kromě toho mohou uživatelé měnit nastavení oprávnění pro všechny soubory a podadresáře.
  • Modifikovat – Uživatelé mohou prohlížet a upravovat soubory a jejich vlastnosti, včetně přidávání souborů do adresáře nebo jejich odstraňování, případně vlastnosti souborů do adresáře nebo z adresáře.
  • Číst & Spustit – Uživatelé mohou spouštět spustitelné soubory, včetně skriptů.
  • Čtení – Uživatelé mohou prohlížet soubory, vlastnosti souborů a adresáře.
  • Zápis – Uživatelé mohou zapisovat do souboru a přidávat soubory do adresářů.

Co jsou oprávnění ke sdílení?

Oprávnění ke sdílení spravují přístup ke složkám sdíleným v síti; nevztahují se na uživatele, kteří se přihlašují místně. Sdílená oprávnění se vztahují na všechny soubory a složky ve sdílené složce; nelze granulárně řídit přístup k podsložkám nebo objektům ve sdílené složce. Můžete určit počet uživatelů, kteří mají povolen přístup ke sdílené složce. Sdílená oprávnění lze použít se souborovými systémy NTFS, FAT a FAT32.

Existují tři typy sdílených oprávnění: Plné řízení, Změna a Čtení. Každé z nich můžete nastavit na „Odmítnout“ nebo „Povolit“ a řídit tak přístup ke sdíleným složkám nebo jednotkám:

  • Čtení – uživatelé mohou zobrazovat názvy souborů a podsložek, číst data v souborech a spouštět programy. Ve výchozím nastavení je skupině „Everyone“ přiděleno oprávnění „Read“ (Číst).
  • Change (Změnit) – Uživatelé mohou provádět vše, co je povoleno oprávněním „Read“ (Číst), a také přidávat soubory a podsložky, měnit data v souborech a odstraňovat podsložky a soubory. Toto oprávnění není ve výchozím nastavení přiděleno.
  • Plná kontrola – Uživatelé mohou provádět vše, co je povoleno oprávněním „Číst“ a „Změnit“, a mohou také měnit oprávnění pouze pro soubory a složky NTFS. Ve výchozím nastavení je skupině „Administrators“ přiděleno oprávnění „Plné řízení“.

Oprávnění NTFS vs. oprávnění ke sdílení

Tady jsou hlavní rozdíly mezi oprávněními NTFS a sdílení, které byste měli znát:

  • Oprávnění ke sdílení lze snadno použít a spravovat, ale oprávnění NTFS umožňují podrobnější kontrolu sdílené složky a jejího obsahu.
  • Při současném použití sdílených oprávnění a oprávnění NTFS vždy vítězí nejpřísnější oprávnění. Pokud je například oprávnění sdílené složky nastaveno na „Everyone Read Allow“ a oprávnění NTFS na „Everyone Modify Allow“, platí oprávnění sdílení, protože je nejpřísnější; uživatel nesmí měnit soubory na sdílené jednotce.
  • Oprávnění sdílení lze použít při sdílení složek v souborových systémech FAT a FAT32; oprávnění NTFS nikoli.
  • Oprávnění NTFS se vztahují na uživatele, kteří jsou k serveru přihlášeni lokálně; oprávnění ke sdílení nikoli.
  • Oprávnění ke sdílení umožňují na rozdíl od oprávnění NTFS omezit počet souběžných připojení ke sdílené složce.
  • Oprávnění ke sdílení se konfigurují ve vlastnostech „Pokročilé sdílení“ v nastavení „Oprávnění“. Oprávnění NTFS se konfigurují na kartě Zabezpečení ve vlastnostech souboru nebo složky.

Jak změnit oprávnění NTFS

Pro změnu oprávnění NTFS:

  1. Otevřete kartu „Zabezpečení“.
  2. V dialogovém okně „Vlastnosti“ složky klikněte na tlačítko „Upravit“.
  3. Klikněte na název objektu, pro který chcete změnit oprávnění.
  4. Zvolte buď „Povolit“, nebo „Odmítnout“ pro každé nastavení.
  5. Kliknutím na „Použít“ použijete oprávnění.

Případně můžete změnit oprávnění NTFS pomocí prostředí PowerShell.

Jak změnit oprávnění sdílené složky

Pro změnu oprávnění sdílené složky:

  1. Klikněte pravým tlačítkem myši na sdílenou složku.
  2. Klikněte na „Vlastnosti“.
  3. Otevřete kartu „Sdílení“.
  4. Klikněte na „Upřesnit sdílení“.
  5. Klikněte na „Oprávnění“.
  6. Zvolte uživatele nebo skupinu ze seznamu.
  7. Zvolte buď „Povolit“, nebo „Odmítnout“ pro každé z nastavení.

Oprávnění Doporučené postupy

  • Přiřazení oprávnění skupinám, nikoli uživatelským účtům – Přiřazení oprávnění skupinám zjednodušuje správu sdílených prostředků. Pokud se změní role uživatele, jednoduše ho přidáte do příslušných nových skupin a odeberete ho ze skupin, které již nejsou relevantní.
  • Prosazujte princip nejmenších oprávnění – Udělujte uživatelům oprávnění, která potřebují, a nic navíc. Pokud například uživatel potřebuje číst informace ve složce, ale nikdy nemá legitimní důvod mazat, vytvářet nebo měnit soubory, ujistěte se, že má pouze oprávnění „Číst“.
  • Používejte pouze oprávnění NTFS pro místní uživatele – Oprávnění ke sdílení se vztahují pouze na uživatele, kteří přistupují ke sdíleným prostředkům prostřednictvím sítě; nevztahují se na uživatele, kteří se přihlašují místně.
  • Umístěte objekty se stejnými požadavky na zabezpečení do stejné složky – Pokud například uživatelé vyžadují oprávnění „Číst“ pro několik složek, které používá jedno oddělení, uložte tyto složky do stejné nadřazené složky a sdílejte tuto nadřazenou složku, místo abyste sdíleli každou složku zvlášť.
  • Nenastavujte oprávnění pro skupinu „Everyone“ na „Deny“ – Skupina „Everyone“ zahrnuje všechny, kteří mají přístup ke sdíleným složkám, včetně účtu „Guest“, s výjimkou skupiny „Anonymous Logon“.
  • Vyhněte se explicitnímu odepření oprávnění ke sdílenému prostředku – Za normálních okolností byste měli explicitně odepřít oprávnění pouze v případě, že chcete přepsat konkrétní již přiřazená oprávnění.
  • Udělte skupině „Administrators“ oprávnění „Plné řízení“ k nadřazené sdílené složce – Tato strategie umožňuje správcům spravovat oprávnění, exportovat seznamy přístupů a sledovat změny všech oprávnění, souborů a složek.
  • Pečlivě sledujte členství ve skupině „Administrators“ – Uživatelé v této skupině mají oprávnění „Plný přístup“ ke všem sdíleným souborům a složkám. Proto byste měli pečlivě kontrolovat změny jejího členství, a to buď pomocí zásad auditu a protokolu událostí zabezpečení, nebo softwarových řešení třetích stran, která vás mohou v reálném čase upozornit na všechny změny v této mocné skupině a také usnadnit pravidelné ověřování všech uživatelských oprávnění.

Další informace naleznete v článku o osvědčených postupech správy oprávnění NTFS.

Použití pouze jedné sady oprávnění

Pokud se vám zdá práce se dvěma samostatnými sadami oprávnění příliš složitá, můžete použít pouze oprávnění ke sdílení NTFS. Stačí změnit oprávnění sdílené složky na „Plné řízení“ a pak můžete provádět libovolné změny v oprávněních NTFS, aniž byste se museli obávat, že do nich budou zasahovat oprávnění sdílené složky.

Shrnutí

Poznání rozdílů mezi oprávněními sdílené složky a NTFS vám umožní používat je společně k zabezpečení přístupu k místním a sdíleným prostředkům. Dodržování zde podrobně popsaných pokynů a osvědčených postupů dále posílí zabezpečení vašeho IT prostředí.

Jeff je ředitelem oddělení Global Solutions Engineering ve společnosti Netwrix. Je dlouholetým bloggerem, řečníkem a prezentátorem společnosti Netwrix. Na blogu Netwrix Jeff sdílí lifehacky, tipy a triky, které mohou výrazně zlepšit vaše zkušenosti se správou systému.

admin

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.

lg