Definiowanie uprawnień do plików i folderów to jedna z podstawowych funkcjonalności nowoczesnych systemów operacyjnych. Dzięki temu, gdy z komputera korzysta wielu użytkowników (np. w szkole), możemy ustalać różne poziomy dostępu i uprawnień do zasobów danego komputera dla poszczególnych użytkowników oraz grup użytkowników.

Taki mechanizm pozwala określać zarówno do jakich plików i katalogów dany użytkownik ma dostęp w ogóle, do jakich nie ma dostępu, a także co może z danym zasobem lub w ramach danego zasobu robić (tworzyć pliki, zmieniać dane w plikach, itp).

Uprawnienia w systemie Windows

W systemach Windows powszechnie stosowany jest system plików o nazwie NTFS. System plików określa metodysposoby przechowywania plików na dysku twardym komputera. Dodatkowo NTFS pozwala na określanie uprawnień do poszczególnych folderów i plików zapisanych w pamięci komputera względem poszczególnych użytkowników systemu.

Mechanizm ten w systemie plików NTFS nazywany jest listą kontroli dostępu (ang. ACLAccess Control List).

Ważne!

Listy kontroli dostępu to nic innego jak zbiór uprawnień danego użytkownika do określonego pliku i/lub katalogu definiujący co dany użytkownik może z zasobem, do którego posiada określone uprawnienia zrobić, to znaczy, czy może go wyświetlać, zmieniać, tworzyć nowe pliki w danym katalogu lub też czy mamy zabroniony dostęp do danego katalogu.

W systemie NTFS stosuje się dwie grupy uprawnień:

  • podstawowe,

  • zaawansowane.

Do podstawowych uprawnień do folderów i plików zaliczymy:

  • Zapis – to uprawnienie pozwala (lub zabrania) na tworzenie plików i folderów, zapis danych do plików oraz ich modyfikacje, a także określanie atrybutów.

  • Odczyt – to uprawnienie pozwala (lub zabrania) odczytywać dane oraz atrybuty z plików, nie pozwala natomiast na zapis do pliku.

  • Odczyt i wykonanie – to uprawienie pozwala (lub zabrania) wyświetlać zawartość oraz uprawnienia do folderu, odczytywać dane i uprawnienia do pliku, a także uruchamiać programy zapisane w folderze oraz przechodzić przez folder.

  • Wyświetlenie zawartości folderu – to uprawienie również pozwala (lub zabrania) wyświetlać zawartość oraz uprawnienia, ale tylko w odniesieniu do folderów. W przypadku plików to uprawnienie nie pojawia się na liście uprawnień.

  • Modyfikacja – to uprawnienie pozwala (lub zabrania) użytkownikowi wykonywać wszystkie możliwe operacje poza usuwaniem plików i podkatalogów, bez możliwości zmiany ich uprawnień i przejmowania na własność.

  • Pełna kontrola – to uprawnienie pozwala (lub zabrania) na wykonywanie wszystkich operacji na folderze i pliku, łącznie z usuwaniem plików i podkatalogów w danym folderze, włącznie ze zmianą uprawnień i przejęciem własności.

Każde z wymienionych uprawnień może mieć 3 statusy:

  • Zezwalaj (ang. allow) – ten status określa czy użytkownik lub grupa użytkowników ma przydzielone prawo do wykonywania określonej czynności.

  • Odmów (ang. deny) – ten status informuje czy określony użytkownik lub grupa użytkowników ma odebrane prawo do wykonywania określonej czynności.

  • Nieprzydzielone (nieokreślone) – oznacza, że nie określono statusu zezwalaj ani odmów dla poszczególnych uprawnień.

Wymienione uprawnienia są wystarczające w większości sytuacji i scenariuszy. Czasami jednak bywa tak, że administrator systemu chce uszczegółowić uprawnienia jeszcze bardziej. W takiej sytuacji można zastosować uprawnienia zaawansowane, do których zaliczyć możemy:

  • Przechodzenie poprzez folder – to uprawnienie pozwala na dostęp do pliku w sytuacji, gdy użytkownik nie posiada uprawnień do katalogu przechowującego ten plik, ale posiada je do samego pliku.

  • Wykonanie – to uprawnienie pozwala na uruchamianie pliku zawierającego kod programu. Prawo to stosuje się jedynie do plików.

  • Odczyt atrybutów – to uprawnienie pozwala na przeglądanie atrybutów pliku lub folderu.

  • Odczyt atrybutów rozszerzonych – to uprawnienie pozwala na przeglądanie rozszerzonych atrybutów pliku bądź folderu. Do rozszerzonych atrybutów należy zaliczyć kompresję i szyfrowanie.

  • Tworzenie plików/Zapis danych – to uprawnienie pozwala na tworzenie plików wewnątrz folderu oraz na dokonywanie zmian w plikach i nadpisywania ich zawartości.

  • Tworzenie folderów/Dołączanie danych – to uprawnienie pozwala na tworzenie podkatalogów wewnątrz folderu, a także na dopisywanie nowych danych do plików.

  • Zapis atrybutów – to uprawnienie pozwala na zmianę atrybutów pliku lub folderu.

  • Zapis rozszerzonych atrybutów – to uprawnienie pozwala na zmianę atrybutów rozszerzonych pliku lub folderu.

  • Usuwanie podfolderów i plików – to uprawnienie pozwala na usuwanie znajdujących się w folderze plików oraz podfolderów.

  • Usuwanie – to uprawnienie pozwala na usuwanie plików i katalogów.

  • Odczyt uprawnień – to uprawnienie pozwala na odczyt uprawnień zastosowanych do plików lub folderów.

  • Zmiana uprawnień – to uprawnienie pozwala na zmianę uprawnień zastosowanych do plików lub folderów, takich jak: Pełna kontrola, Zapis, Odczyt.

  • Przejęcie na własność – to uprawnienie pozwala na przejęcie pliku lub folderu na własność.

Ważne!

Właściciel pliku lub folderu (użytkownik, który go utworzył) może zawsze zmienić jego uprawnienia, niezależnie od tego, jakie uprawnienia nadał dla katalogu lub pliku administrator systemu.

Uprawnienia sieciowe

W przypadku zasobów, które udostępnione są w sieci lokalnej z wykorzystaniem protokołu SMBprotokół SMBprotokołu SMB, wyróżnia się tylko trzy rodzaje uprawnień.

  • Odczyt – jest to rodzaj uprawnienia, które nadawane jest wszystkim użytkownikom w momencie udostępniania katalogu w sieci lokalnej. Pozwala przeglądać foldery, odczytywać pliki i uruchamiać programy zapisane w katalogach.

  • Zmiana – pozwala użytkownikowi na odczyt danych i możliwość tworzenia plików i katalogów, a także dokonywania zmian w plikach.

  • Pełna kontrola – pozwala na pełną kontrolę danych, w tym odczyt i zapis.

R1Ddjwns7rLZ3
Okno nadawania uprawnień na poziomie sieci lokalnej
Źródło: Contentplus.pl Sp. z o.o., licencja: CC BY-SA 3.0.

Słownik

uprawnienia efektywne
uprawnienia efektywne

suma uprawnień użytkownika uwzględniająca jego uprawnienia oraz uprawnienia grupy do jakiej należy

protokół SMB
protokół SMB

protokół sieci komputerowych pozwalający udostępniać pliki i foldery w sieci lokalnej