A Microsoft Windows-környezetekben gyakran használják az NTFS- és a megosztási engedélyeket. Bár a megosztási és az NTFS-engedélyek ugyanazt a célt szolgálják – a jogosulatlan hozzáférés megakadályozását -, fontos különbségeket kell megérteni, mielőtt meghatározzuk, hogyan lehet a legjobban végrehajtani egy olyan feladatot, mint egy mappa megosztása. Az alábbiakban bemutatjuk a megosztási és NTFS-engedélyek közötti legfontosabb különbségeket, valamint néhány ajánlást arra vonatkozóan, hogy mikor és hogyan használjuk őket.
Mi az NTFS-engedélyek?
Az NTFS (New Technology File System) a Microsoft Windows NT és későbbi operációs rendszerek szabványos fájlrendszere; az NTFS-engedélyek az NTFS-fájlrendszerekben tárolt adatokhoz való hozzáférés kezelésére szolgálnak. Az NTFS megosztási engedélyek fő előnye, hogy mind a helyi, mind a hálózati felhasználókat érintik, és hogy a Windows bejelentkezéskor az egyes felhasználóknak megadott engedélyeken alapulnak, függetlenül attól, hogy a felhasználó honnan csatlakozik.
Egyaránt léteznek alap és speciális NTFS engedélyek. Az NTFS-objektumokhoz való hozzáférés szabályozásához az egyes engedélyeket “Engedélyezés” vagy “Megtagadás” értékre állíthatja be. A hozzáférési engedélyek alaptípusai a következők:
- Teljes ellenőrzés – A felhasználók hozzáadhatnak, módosíthatnak, áthelyezhetnek és törölhetnek fájlokat és könyvtárakat, valamint a hozzájuk tartozó tulajdonságokat. Ezenkívül a felhasználók megváltoztathatják az összes fájl és alkönyvtár jogosultsági beállításait.
- Módosítás – A felhasználók megtekinthetik és módosíthatják a fájlokat és a fájlok tulajdonságait, beleértve a fájlok hozzáadását egy könyvtárhoz vagy törlését egy könyvtárból, illetve a fájlok tulajdonságait egy fájlhoz vagy egy fájlból.
- Olvasás & Végrehajtás – A felhasználók futtathatják a futtatható fájlokat, beleértve a szkripteket is.
- Olvasás – A felhasználók megtekinthetik a fájlokat, a fájlok tulajdonságait és a könyvtárakat.
- Írás – A felhasználók írhatnak fájlba és adhatnak hozzá fájlokat könyvtárakhoz.
Mi a megosztási engedélyek?
A megosztási engedélyek a hálózaton megosztott mappákhoz való hozzáférést kezelik; nem vonatkoznak a helyileg bejelentkező felhasználókra. A megosztási engedélyek a megosztás összes fájljára és mappájára vonatkoznak; a megosztás almappáihoz vagy objektumaihoz való hozzáférést nem lehet részletesen szabályozni. Megadhatja, hogy hány felhasználó férhet hozzá a megosztott mappához. A megosztási engedélyek NTFS, FAT és FAT32 fájlrendszerek esetén használhatók.
A megosztási engedélyeknek három típusa létezik: Teljes ellenőrzés, Módosítás és Olvasás. Ezek mindegyikét “Megtagadás” vagy “Engedélyezés” értékre állíthatja be a megosztott mappákhoz vagy meghajtókhoz való hozzáférés szabályozásához:
- Olvasás – A felhasználók megtekinthetik a fájlok és almappák nevét, adatokat olvashatnak a fájlokban, és programokat futtathatnak. Alapértelmezés szerint a “Mindenki” csoport kap “Olvasás” engedélyt.
- Módosítás – A felhasználók mindent megtehetnek, amit az “Olvasás” engedély megenged, valamint hozzáadhatnak fájlokat és almappákat, módosíthatják a fájlokban lévő adatokat, és törölhetnek almappákat és fájlokat. Ez a jogosultság alapértelmezés szerint nincs hozzárendelve.
- Teljes ellenőrzés – A felhasználók mindent megtehetnek, amit az “Olvasás” és a “Módosítás” jogosultságok megengednek, továbbá csak az NTFS fájlok és mappák jogosultságait módosíthatják. Alapértelmezés szerint a “Rendszergazdák” csoport kap “Teljes hozzáférés” engedélyeket.
NTFS vs. megosztási engedélyek
Itt vannak a legfontosabb különbségek az NTFS és a megosztási engedélyek között, amelyeket tudnia kell:
- A megosztási engedélyeket könnyű alkalmazni és kezelni, de az NTFS engedélyek részletesebb ellenőrzést tesznek lehetővé egy megosztott mappa és annak tartalma felett.
- A megosztási és NTFS-engedélyek egyidejű használatakor mindig a legszigorúbb engedély nyer. Ha például a megosztott mappa engedélye “Mindenki számára olvasás engedélyezése”, az NTFS engedélye pedig “Mindenki számára módosítás engedélyezése”, akkor a megosztási engedély érvényesül, mert ez a legkorlátozóbb; a felhasználó nem módosíthatja a megosztott meghajtón lévő fájlokat.
- A megosztási engedélyek használhatók a FAT és FAT32 fájlrendszerekben lévő mappák megosztásakor; az NTFS engedélyek nem.
- Az NTFS-engedélyek a kiszolgálóra helyileg bejelentkezett felhasználókra vonatkoznak; a megosztási engedélyek nem.
- Az NTFS-engedélyekkel ellentétben a megosztási engedélyek lehetővé teszik a megosztott mappához való egyidejű kapcsolatok számának korlátozását.
- A megosztási engedélyek beállítása a “Speciális megosztás” tulajdonságai között az “Engedélyek” beállítások között történik. Az NTFS-engedélyek beállítása a fájl vagy mappa tulajdonságainak Biztonság lapján történik.
Hogyan módosíthatja az NTFS-engedélyeket
Az NTFS-engedélyek módosításához:
- Nyissa meg a “Biztonság” lapot.
- A mappa “Tulajdonságok” párbeszédpanelén kattintson a “Szerkesztés” gombra.
- Kattintson annak az objektumnak a nevére, amelynek az engedélyeit módosítani szeretné.
- Válassza az “Engedélyezés” vagy a “Megtagadás” lehetőséget az egyes beállításoknál.
- Kattintson az “Alkalmazás” gombra az engedélyek alkalmazásához.
Alternatívaként a PowerShell segítségével is módosíthatja az NTFS engedélyeket.
Hogyan módosíthatja a megosztási engedélyeket
A megosztási engedélyek módosításához:
- Kattintson a jobb gombbal a megosztott mappára.
- Kattintson a “Tulajdonságok”-ra.
- Nyissa meg a “Megosztás” lapot.
- Kattintson a “Speciális megosztás”-ra.
- Kattintson az “Engedélyek”-re.
- Válasszon ki egy felhasználót vagy csoportot a listából.
- Válassza az “Engedélyezés” vagy a “Megtagadás” lehetőséget az egyes beállításoknál.
Jogosultságok legjobb gyakorlatai
- Jogosultságokat csoportokhoz, nem felhasználói fiókokhoz rendelni – A jogosultságok csoportokhoz rendelése egyszerűsíti a megosztott erőforrások kezelését. Ha egy felhasználó szerepe megváltozik, egyszerűen hozzáadhatja őt a megfelelő új csoportokhoz, és eltávolíthatja a már nem releváns csoportokból.
- A legkisebb jogosultság elvének érvényesítése – Adja meg a felhasználóknak a szükséges jogosultságokat és semmi többet. Ha például egy felhasználónak egy mappában lévő információkat kell olvasnia, de soha nincs jogos oka fájlok törlésére, létrehozására vagy módosítására, gondoskodjon arról, hogy csak az “Olvasás” jogosultsággal rendelkezzen.
- Csak NTFS engedélyeket használjon a helyi felhasználók számára – A megosztási engedélyek csak a hálózaton keresztül megosztott erőforrásokhoz hozzáférő felhasználókra vonatkoznak; a helyben bejelentkező felhasználókra nem vonatkoznak.
- Az azonos biztonsági követelményekkel rendelkező objektumokat helyezze ugyanabba a mappába – Ha például a felhasználóknak több, egy osztály által használt mappához is “Olvasás” engedélyre van szükségük, tárolja ezeket a mappákat ugyanabban a szülőmappában, és ossza meg ezt a szülőmappát, ahelyett, hogy minden mappát külön-külön osztana meg.
- Ne állítsa a “Mindenki” csoport engedélyeit “Megtagadás”-ra – A “Mindenki” csoportba mindenki tartozik, aki hozzáférhet a megosztott mappákhoz, beleértve a “Vendég” fiókot is, kivéve a “Névtelen bejelentkezés” csoportot.
- Kerülje a megosztott erőforrás engedélyeinek kifejezett megtagadását – Általában csak akkor érdemes kifejezetten megtagadni az engedélyeket, ha felül akarja írni a már kiosztott konkrét engedélyeket.
- Adjon a “Rendszergazdák” csoportnak “Teljes hozzáférés” engedélyt a szülő megosztott mappához – Ez a stratégia lehetővé teszi a rendszergazdák számára a jogosultságok kezelését, a hozzáférési listák exportálását, valamint az összes jogosultság, fájl és mappa változásának nyomon követését.
- Tartsa szemmel a “Rendszergazdák” csoport tagságát – Az ebbe a csoportba tartozó felhasználók “Teljes hozzáférés” engedélyekkel rendelkeznek az összes megosztott fájlhoz és mappához. Ezért gondosan ellenőriznie kell a tagságának változásait, akár az ellenőrzési házirend és a biztonsági eseménynapló, akár harmadik féltől származó szoftvermegoldások segítségével, amelyek valós időben értesítik Önt e nagyhatalmú csoport minden változásáról, valamint megkönnyítik az összes felhasználói jogosultság rendszeres igazolását.
Bővebb információért olvassa el az NTFS-jogosultságok kezelésének legjobb gyakorlatait.
Csak egyetlen jogosultságkészlet használata
Ha úgy érzi, hogy a két külön jogosultságkészlettel való munka túl bonyolult, használhat csak NTFS-megosztási jogosultságokat is. Egyszerűen módosítsa a mappa megosztási engedélyeit “Teljes hozzáférés”-re, és ezután bármilyen változtatást elvégezhet az NTFS-engedélyeken anélkül, hogy aggódnia kellene amiatt, hogy a fájlmegosztási engedélyek zavarják azokat.
Összefoglaló
A megosztási és NTFS-engedélyek közötti különbségek megismerése lehetővé teszi, hogy együttesen használhassa őket a helyi és megosztott erőforrásokhoz való hozzáférés biztosítására. Az itt részletezett irányelvek és legjobb gyakorlatok követése tovább erősíti informatikai környezetének biztonságát.