NTFS ĚŠĚ U j Be. Šimon Suchomel NTFS o Specifikují k jakým prostředkům má objekt prístup o Dostupné pouze na NTFS svazcích o Oprávnění souboru se liší od adresářů o Příkaz cacls, alternativa xcacls o Změníme na kartě Security • Není karta security vidět? o Není svazek na NTFS o Je povoleno Simple File Sharing ve Folder Options o NTFS oprávnění muže měnit • Člen skupiny Administrators • Vlastník Uživatelé s Full Controll NTFS oprávnění na adresáře o Read Vidět soubory a podadresáře a vidět oprávnění adresáře a atributy (Read-Only, Hidden, Archive and System) o Write Vytvořit nový soubor a podadresář, změnit atributy a zobrazit vlastníka a oprávnění o List Folder Contents Vidět jména souborů a podadresářů o Read & Execute Jako read a List Folder Contents + dostat se skrz adresáře o Modify Jako Write a Read & Execute + smazat adresář o Full Control Jako vše + změnit oprávnění, převzít vlastnictví a mazat podadresáře a soubory Defaulte pro Everyone po formátu svazku NTFS NTFS oprávnění na soubory o Read • Číst soubor a zobrazit jeho atributy, vlastníka a oprávnění o Write • Přepsat soubor, změnit atributy a zobrazit vlastníka a oprávnění o Read & Execute • Jako Read + spustit aplikaci o Modify • Jako Write a Read & Execute + změnit a smazat soubor o Full Control Jako vše + změnit oprávnění a převzít vlastnictví Access Control Lists o NTFS spravuje ACL pro každý soubor a adresář na NTFS svazku o ACL obsahuje seznam všech účtů a skupin, kterým bylo přiděleno oprávnění o Pro přístup musí ACL obsahovat Access Control Entry (ACE) záznam který musí povolit typ oprávnění, které se uživatel snaží použít Effective Permissions o Pro uživatele je to součet oprávnění přiřazených jeho účtu a skupinám, kterých je členem o NTFS oprávnění na soubor mají větší prioritu než oprávnění přiřazené na adresář, který obsahuje ten soubor o Bypass Traverse Checking oprávnění • Dostaneme se k souboru na který oprávnění máme, přestože nemáme oprávněni na adresář • Windows settings -> Local Policies -> User Rights Assignment -> Bypass Traverse Ch. o Deny přepíše Allow oprávnění Příklad o Userl má Read na adresář A a je členem skupiny A a skupiny B o Skupina B má Write na adresář A o Skupina A má denied Write na soubor File2 e Group B Write Group A e Userl Read RAV NTFS volume FolderA Filel File 2 Deny Write to File2 < NTFS permissions are cumulative. ■ File permissions override folder permissions. ■ Deny overrides other permissions. Dědičnost o Defaultně se oprávnění dědí z nadřazených adresářů do podadresářů a souborů o Lze zakázat dědění oprávnění o Adresář, kterému bylo odebráno dědění od nadřazených adresářů se stává novým kořenem pro dědičnost Special Permissions o Full Control Všechna ostatní oprávnění o Traverse Folder/Execute File Může projít adresářem, ikdyž nemá žádná jiná oprávnění Nemá vliv pokud je povoleno Bypass Traverse Checking Spustit spustitelný soubor o List Folder/Read Data Vidět podadresáře a soubory Vidět obsah souboru o Read Attributes Vidět atributy (definované NTFS) o Read Extended Attributes Vidět další atributy (definované programy) o Create Files/Write Data Vytvořit nový soubor v adresáři Změnit obsah souboru Special Permissions o Create Folders/Append Data Vytvořit adresář v daném adresáři Možnost změnit soubor (pouze přidat data na konec). Nelze přepsat existující o Write Attributes Změnit atributy definované NTFS o Write Extended Attributes Změnit atributy definované programy o Delete Subfolders And Files Smazat podadresář nebo soubor v daném adresáři (ikdyž na něj nemá Delete) o Delete Smazat konkrétní soubor nebo adresář o Read Permissions Přečíst oprávnění o Change Permissions Možnost měnit oprávnění (bez použití Full Control) o Take Ownership Převzít vlastnictví o Synchronize Možnost synchronizovat mezi vlákny vícevláknového programu (více procesoru). Není přiděleno uživatelům, ale vícevláknovému programu Vlastnictví o Vlastnictví nelze nikomu přidělit o Lze si pouze přivlastnit objekt (explicitně změnit vlastnictví na sebe) o Vlastník může vždy měnit NTFS oprávnění o Vlastník nebo kdokoliv s Full Control může přiřadit Full Control standardní oprávnění a Take Ownership speciální oprávnění jinému uživateli nebo skupině o Vlastnictví se počítá do Kvóty (viz další přednášky) Jak plánovat NTFS o Organizovat soubory do adresářů a těm pak přidělovat oprávnění místo oprávnění přímo na soubory o Princip nejnižšího oprávnění o Vytvářet skupiny podle typu přístupu, oprávnění přiřazovat skupinám, uživatelé jako cleny skupin o Adresáře s aplikacemi by měly mít Read & Execute pro skupiny Users i Administrators o Pro veřejná místa Full Control pro skupinu Creator Owner o Nepoužívat Deny jako součást plánu!!!!! o Poučit uživatele aby si měnily oprávnění na svoje složky © 73 Když jsou soubory a složky kopírovány Permissions = Full Control Copy Permissions = Destination folder Permissions = Full Control Copy Copy Write permission Permissions = Destination folder Permissions are lost. FAT v Když jsou soubory a složky přesouvány Permissions Full Control Move Permissions H Full Control Permissions Full Control Write, Modify permissions Move Permissions = Destination folder Move FAT v Permissions are lost. olume Standardní problémy o Uživatel nemůže přistoupit ke zdroji o Přidali jsem uživatele do skupiny s oprávněním ke zdroji, ale stále tam přístup nemá o Uživatel má Full Control na adresář, smaže tam soubor, přestože neměl právo mazat soubor jako takový Standardní problémy a řešení o Uživatel nemůže přistoupit ke zdroji • Zkontrolujeme oprávnění jestli se nezměnilo při kopírování či přesunu o Přidali jsem uživatele do skupiny s oprávnením ke zdroji, ale stale tam prístup nemá • Aby se znovu vyhodnotilo ACL musí se uživatel znovu ověřit o Uživatel má Full Control na adresář, smaže tam soubor, přestože neměl právo mazat soubor jako takový Odebereme oprávnění Delete Subfolders and Files