Uprawnienia NTFS i udostępniania są często używane w środowiskach Microsoft Windows. Podczas gdy uprawnienia do udostępniania i NTFS służą temu samemu celowi – zapobieganiu nieautoryzowanemu dostępowi – istnieją ważne różnice, które należy zrozumieć przed określeniem, jak najlepiej wykonać zadanie takie jak udostępnianie folderu. Oto kluczowe różnice pomiędzy uprawnieniami udziału i NTFS, wraz z zaleceniami kiedy i jak używać każdego z nich.

Czym są uprawnienia NTFS?

NTFS (New Technology File System) jest standardowym systemem plików dla Microsoft Windows NT i późniejszych systemów operacyjnych; uprawnienia NTFS są używane do zarządzania dostępem do danych przechowywanych w systemach plików NTFS. Głównymi zaletami uprawnień do udziałów NTFS jest to, że dotyczą one zarówno użytkowników lokalnych, jak i sieciowych oraz że są oparte na uprawnieniach przyznanych indywidualnemu użytkownikowi przy logowaniu do systemu Windows, niezależnie od tego, skąd użytkownik się łączy.

Istnieją zarówno podstawowe, jak i zaawansowane uprawnienia NTFS. Możesz ustawić każde z tych uprawnień na „Zezwalaj” lub „Odmawiaj”, aby kontrolować dostęp do obiektów NTFS. Oto podstawowe typy uprawnień dostępu:

  • Pełna kontrola – Użytkownicy mogą dodawać, modyfikować, przenosić i usuwać pliki i katalogi, jak również ich powiązane właściwości. Ponadto użytkownicy mogą zmieniać ustawienia uprawnień dla wszystkich plików i podkatalogów.
  • Modyfikuj – użytkownicy mogą przeglądać i modyfikować pliki oraz właściwości plików, w tym dodawać pliki do katalogu lub usuwać pliki z katalogu albo właściwości plików do pliku lub z pliku.
  • Czytaj & Wykonaj – użytkownicy mogą uruchamiać pliki wykonywalne, w tym skrypty.
  • Odczyt – użytkownicy mogą przeglądać pliki, właściwości plików i katalogów.
  • Zapis – użytkownicy mogą zapisywać do pliku i dodawać pliki do katalogów.

Czym są uprawnienia do udostępniania?

Uprawnienia do udostępniania zarządzają dostępem do folderów udostępnianych w sieci; nie mają zastosowania do użytkowników logujących się lokalnie. Uprawnienia do udostępniania dotyczą wszystkich plików i folderów w folderze udostępnionym; nie można granularnie kontrolować dostępu do podfolderów lub obiektów w folderze udostępnionym. Można określić liczbę użytkowników, którzy mają prawo dostępu do folderu udostępnionego. Uprawnienia udziału mogą być używane z systemami plików NTFS, FAT i FAT32.

Istnieją trzy typy uprawnień udziału: Pełna kontrola, Zmiana i Odczyt. Możesz ustawić każde z nich na „Odmów” lub „Zezwalaj”, aby kontrolować dostęp do udostępnionych folderów lub dysków:

  • Odczyt – użytkownicy mogą wyświetlać nazwy plików i podfolderów, odczytywać dane w plikach i uruchamiać programy. Domyślnie uprawnienia „Odczyt” są przypisane do grupy „Wszyscy”.
  • Zmiana – użytkownicy mogą wykonywać wszystkie czynności dozwolone przez uprawnienie „Odczyt”, a także dodawać pliki i podfoldery, zmieniać dane w plikach oraz usuwać podfoldery i pliki. To uprawnienie nie jest domyślnie przypisane.
  • Pełna kontrola – użytkownicy mogą robić wszystko, na co pozwalają uprawnienia „Odczyt” i „Zmiana”, a także mogą zmieniać uprawnienia tylko dla plików i folderów NTFS. Domyślnie grupa „Administratorzy” ma uprawnienia „Pełna kontrola”.

NTFS vs Uprawnienia współdzielone

Tutaj są kluczowe różnice między NTFS i uprawnieniami współdzielonymi, które musisz znać:

  • Uprawnienia współdzielone są łatwe do zastosowania i zarządzania, ale uprawnienia NTFS umożliwiają bardziej szczegółową kontrolę współdzielonego folderu i jego zawartości.
  • Gdy uprawnienia udostępniania i NTFS są używane jednocześnie, zawsze wygrywa najbardziej restrykcyjne uprawnienie. Na przykład, gdy uprawnienie folderu współdzielonego jest ustawione na „Każdy może czytać”, a uprawnienie NTFS jest ustawione na „Każdy może modyfikować”, uprawnienie współdzielenia ma zastosowanie, ponieważ jest najbardziej restrykcyjne; użytkownik nie może zmieniać plików na dysku współdzielonym.
  • Uprawnienia współdzielenia mogą być używane przy współdzieleniu folderów w systemach plików FAT i FAT32; uprawnienia NTFS nie mogą.
  • Uprawnienia NTFS dotyczą użytkowników zalogowanych lokalnie na serwerze; uprawnienia współdzielenia nie.
  • W przeciwieństwie do uprawnień NTFS, uprawnienia współdzielenia pozwalają ograniczyć liczbę równoczesnych połączeń do współdzielonego folderu.
  • Uprawnienia współdzielenia są konfigurowane we właściwościach „Udostępnianie zaawansowane” w ustawieniach „Uprawnienia”. Uprawnienia NTFS są konfigurowane na karcie Zabezpieczenia we właściwościach pliku lub folderu.

Jak zmienić uprawnienia NTFS

Aby zmienić uprawnienia NTFS:

  1. Otwórz kartę „Zabezpieczenia”.
  2. W oknie dialogowym „Właściwości” folderu, kliknij „Edytuj”.
  3. Kliknij nazwę obiektu, dla którego chcesz zmienić uprawnienia.
  4. Wybierz „Zezwalaj” lub „Odmawiaj” dla każdego z ustawień.
  5. Kliknij „Zastosuj”, aby zastosować uprawnienia.

Alternatywnie można zmienić uprawnienia NTFS za pomocą PowerShell.

Jak zmienić uprawnienia do udostępniania

Aby zmienić uprawnienia do udostępniania:

  1. Kliknij prawym przyciskiem myszy udostępniony folder.
  2. Kliknij „Właściwości”.
  3. Otwórz kartę „Udostępnianie”.
  4. Kliknij „Udostępnianie zaawansowane”.
  5. Kliknij „Uprawnienia”.
  6. Wybierz użytkownika lub grupę z listy.
  7. Wybierz „Zezwalaj” lub „Odmawiaj” dla każdego z ustawień.

Najlepsze praktyki w zakresie uprawnień

  • Przypisuj uprawnienia do grup, a nie do kont użytkowników – Przypisywanie uprawnień do grup upraszcza zarządzanie współdzielonymi zasobami. Jeśli rola użytkownika się zmieni, wystarczy dodać go do odpowiednich nowych grup i usunąć z grup, które nie są już istotne.
  • Egzekwuj zasadę najmniejszych uprawnień – Przyznaj użytkownikom uprawnienia, których potrzebują i nic więcej. Na przykład, jeśli użytkownik potrzebuje przeczytać informacje w folderze, ale nigdy nie ma uzasadnionego powodu, aby usuwać, tworzyć lub zmieniać pliki, upewnij się, że ma tylko uprawnienie „Odczyt”.
  • Używaj tylko uprawnień NTFS dla użytkowników lokalnych – Uprawnienia do współdzielenia dotyczą tylko użytkowników, którzy mają dostęp do współdzielonych zasobów przez sieć; nie dotyczą one użytkowników, którzy logują się lokalnie.
  • Umieszczaj obiekty o tych samych wymaganiach zabezpieczeń w tym samym folderze – Na przykład, jeśli użytkownicy wymagają uprawnienia „Odczyt” do kilku folderów używanych przez jeden dział, przechowuj te foldery w tym samym folderze nadrzędnym i udostępniaj ten folder nadrzędny, zamiast udostępniać każdy folder osobno.
  • Nie ustawiaj uprawnień dla grupy „Każdy” na „Odmów” – Grupa „Każdy” obejmuje każdego, kto ma dostęp do folderów współdzielonych, w tym konto „Gość”, z wyjątkiem grupy „Anonimowe logowanie”.
  • Unikaj jawnego odmawiania uprawnień do zasobu współdzielonego – Zwykle należy jawnie odmawiać uprawnień tylko wtedy, gdy chcesz nadpisać określone uprawnienia, które są już przypisane.
  • Przyznaj grupie „Administratorzy” uprawnienia „Pełna kontrola” do nadrzędnego folderu współdzielonego – Ta strategia umożliwia administratorom zarządzanie uprawnieniami, eksportowanie list dostępu i śledzenie zmian wszystkich uprawnień, plików i folderów.
  • Śledź uważnie członkostwo w grupie „Administratorzy” – Użytkownicy w tej grupie mają uprawnienia „Pełny dostęp” do wszystkich współdzielonych plików i folderów. Dlatego należy dokładnie kontrolować zmiany w jej członkostwie, używając albo zasad audytu i dziennika zdarzeń bezpieczeństwa, albo rozwiązań programowych firm trzecich, które mogą powiadamiać o wszelkich zmianach w tej potężnej grupie w czasie rzeczywistym, jak również ułatwiać regularne poświadczenia dla wszystkich uprawnień użytkowników.

Po więcej informacji, przeczytaj o najlepszych praktykach zarządzania uprawnieniami NTFS.

Używanie tylko jednego zestawu uprawnień

Jeśli uważasz, że praca z dwoma oddzielnymi zestawami uprawnień jest zbyt skomplikowana, możesz użyć tylko uprawnień udziału NTFS. Po prostu zmień uprawnienia udziału dla folderu na „Pełna kontrola”, a potem możesz dokonywać dowolnych zmian w uprawnieniach NTFS bez obawy, że uprawnienia udziału kolidują z nimi.

Podsumowanie

Zrozumienie różnic między uprawnieniami udziału i NTFS pozwala ci używać ich razem do zabezpieczenia dostępu do lokalnych i współdzielonych zasobów. Postępowanie zgodnie z wytycznymi i najlepszymi praktykami wyszczególnionymi tutaj jeszcze bardziej wzmocni bezpieczeństwo Twojego środowiska IT.

Jeff jest dyrektorem ds. inżynierii rozwiązań globalnych w firmie Netwrix. Jest długoletnim blogerem, mówcą i prezenterem firmy Netwrix. Na blogu Netwrix, Jeff dzieli się lifehackami, wskazówkami i sztuczkami, które mogą radykalnie poprawić Twoje doświadczenie w administrowaniu systemem.

admin

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.

lg