Opis udostępniania plików i uprawnień w systemie Windows XP
WPROWADZENIE
Na komputerze z systemem Windows XP pliki mogą być udostępniane różnym użytkownikom, zarówno innym użytkownikom lokalnym danego komputera, jak i użytkownikom zdalnym. Użytkownicy lokalni logują się bezpośrednio na danym komputerze, korzystając z własnego konta lub z konta gościa. Użytkownicy zdalni łączą się z danym komputerem za pośrednictwem sieci i uzyskują dostęp do udostępnionych na nim plików.Dostęp do interfejsu prostego udostępniania plików można uzyskać podczas przeglądania właściwości folderu. Za pośrednictwem interfejsu prostego udostępniania plików można konfigurować zarówno uprawnienia udziału, jak i uprawnienia systemu NTFS na poziomie folderu. Uprawnienia tego typu dotyczą folderu, wszystkich plików w danym folderze, folderów podrzędnych i wszystkich plików w folderach podrzędnych. Pliki i foldery utworzone w folderze lub skopiowane do niego dziedziczą uprawnienia zdefiniowane w ich folderze nadrzędnym. W tym artykule opisano sposób konfigurowania dostępu do plików na podstawie poziomów uprawnień. Niektóre z informacji podanych w tym artykule, dotyczących poziomów uprawnień, nie są udokumentowane w plikach systemu operacyjnego lub pliku Pomocy.
Korzystając z udostępniania plików w systemie Windows XP, można konfigurować pięć poziomów uprawnień. Poziom 1 to ustawienie najbardziej prywatne i bezpieczne, a poziom 5 — ustawienie najbardziej publiczne i oferujące największe możliwości zmian (najsłabiej zabezpieczone). Poziomy 1, 2, 4 i 5 można konfigurować za pomocą interfejsu prostego udostępniania plików. Aby to zrobić, należy kliknąć folder prawym przyciskiem myszy, a następnie kliknąć polecenie Udostępnianie i zabezpieczenia w celu otwarcia interfejsu prostego udostępniania plików. Aby skonfigurować poziom 3, należy skopiować plik lub folder do folderu Dokumenty udostępnione w oknie Mój komputer. Ta konfiguracja nie ulega zmianie w przypadku włączenia lub wyłączenia prostego udostępniania plików.
Włączanie i wyłączanie prostego udostępniania plików
Na komputerach z systemem Windows XP Home Edition proste udostępnianie plików jest zawsze włączone. Na komputerach z systemem Windows XP Professional, przyłączonych do grupy roboczej, interfejs prostego udostępniania plików jest domyślnie włączony. Na komputerach z systemem Windows XP Professional, przyłączonych do domeny, stosuje się tylko klasyczny interfejs udostępniania plików i zabezpieczeń. W przypadku korzystania z interfejsu prostego udostępniania plików (znajdującego się we właściwościach folderu) konfigurowane są zarówno uprawnienia udziału, jak i uprawnienia plików.Wyłączenie prostego udostępniania plików umożliwia rozszerzenie zakresu kontroli nad uprawnieniami udzielanymi poszczególnym użytkownikom. Zapewnienie przy tym wyższego poziomu ochrony plików i folderów wymaga jednak zaawansowanej wiedzy o uprawnieniach systemu NTFS i uprawnieniach udziału.
Wyłączenie prostego udostępniania plików nie powoduje wyłączenia funkcji Dokumenty udostępnione. Aby włączyć lub wyłączyć proste udostępnianie plików w systemie Windows XP Professional, wykonaj następujące kroki:
1. Kliknij dwukrotnie ikonę Mój komputer na pulpicie.
2. W menu Narzędzia kliknij polecenie Opcje folderów.
3. Kliknij kartę Widok, a następnie zaznacz pole wyboru Użyj prostego udostępniania plików (zalecane) w celu włączenia prostego udostępniania plików (wyczyść to pole wyboru, aby wyłączyć tę funkcję).
Zarządzanie poziomami uprawnień dostępu do udziałów i plików
Korzystając z prostego udostępniania plików, można konfigurować pięć różnych poziomów uprawnień dotyczących dostępu do udziałów i plików:
· Poziom 1:Moje dokumenty (prywatny)
· Poziom 2:Moje dokumenty (domyślny)
· Poziom 3:Pliki dostępne dla użytkowników lokalnych w folderze Dokumenty udostępnione
· Poziom 4:Pliki udostępnione w sieci (do odczytu przez wszystkich)
· Poziom 5:Pliki udostępnione w sieci (do odczytu i zapisu przez wszystkich)
UWAGI
· Pliki przechowywane w folderze Moje dokumenty są domyślnie plikami poziomu 2.
· Foldery poziomów 1, 2 i 3 są dostępne tylko dla użytkowników logujących się lokalnie. Do użytkowników logujących się lokalnie zalicza się użytkownika, który loguje się na komputerze z systemem Windows XP Professional za pośrednictwem sesji pulpitu zdalnego (RDP).
· Foldery poziomów 4 i 5 są dostępne dla użytkowników logujących się lokalnie i użytkowników zdalnych z sieci.
Uprawnienia opisano w następującej tabeli:
Poziom dostępu
Wszyscy (NTFS/plik)
Właściciel
System
Administratorzy
Wszyscy (udział)
Poziom 1
nie dotyczy
Pełna kontrola
Poziom 2
Poziom 3
Odczyt
Poziom 4
Poziom 5
Zmiana
Poziom 1: Moje dokumenty (prywatne)
Właściciel pliku lub folderu ma uprawnienia do odczytu i zapisu dla danego pliku lub folderu. Nikt inny nie może odczytywać ani zapisywać danych w folderze ani w zawartych w nim plikach. Wszystkie podfoldery zawarte w folderze oznaczonym jako prywatny pozostają prywatne, chyba że zmienione zostaną uprawnienia folderu nadrzędnego. Jeśli jako administrator komputera utworzysz dla swego konta hasło użytkownika, korzystając z narzędzia Panelu sterowania o nazwie Konta użytkowników, zostanie wyświetlony monit
sugerujący nadanie plikom i folderowi statusu prywatnych. UWAGA: Opcja nadania folderowi statusu prywatnego (poziom 1) jest dostępna dla konta użytkownika tylko w jego własnym folderze Moje dokumenty. Aby skonfigurować folder i wszystkie znajdujące się w nim pliki na poziomie 1, wykonaj następujące kroki:
1. Kliknij folder prawym przyciskiem myszy, a następnie kliknij polecenie Udostępnianie i zabezpieczenia.
2. Zaznacz pole wyboru Nie udostępniaj tego folderu, a następnie kliknij przycisk OK.
Lokalne uprawnienia systemu NTFS:
· Właściciel: Pełna kontrola
· System: Pełna kontrola
Sieciowe uprawnienia udziału:
· Nie udostępniono
Poziom 2 (domyślny): Moje dokumenty (domyślny)
Właściciel pliku lub folderu i lokalni administratorzy komputera mają uprawnienia do odczytu i zapisu w odniesieniu do danego pliku lub folderu. Nikt inny nie może odczytywać ani zapisywać danych w folderze ani w zawartych w nim plikach. To jest ustawienie domyślne dla wszystkich folderów i plików w folderze Moje dokumenty każdego z użytkowników.Aby skonfigurować folder i wszystkie znajdujące się w nim pliki na poziomie 2, wykonaj następujące kroki:
2. Upewnij się, że oba pola wyboru Nie udostępniaj tego folderu oraz Udostępnij ten folder są wyczyszczone, a następnie kliknij przycisk OK.
· Administratorzy: Pełna kontrola
Poziom 3: Pliki dostępne dla użytkowników lokalnych w folderze Dokumenty udostępnione
Pliki są udostępniane użytkownikom logującym się do komputera lokalnie. Lokalni administratorzy komputera mogą odczytywać, zapisywać i usuwać pliki w folderze Dokumenty udostępnione. Użytkownicy z ograniczonym dostępem mogą tylko odczytywać pliki z folderu Dokumenty udostępnione. Ponadto w systemie Windows XP Professional użytkownicy zaawansowani mogą odczytywać, zapisywać i usuwać dowolne pliki w folderze Dokumenty udostępnione. Grupa użytkowników zaawansowanych jest dostępna tylko w systemie Windows XP Professional. Użytkownicy zdalni nie mogą uzyskiwać dostępu do folderów ani plików na poziomie 3.
Aby umożliwić użytkownikom zdalnym dostęp do plików, należy udostępnić je w sieci (poziom 4 lub 5).Aby skonfigurować plik lub folder i wszystkie znajdujące się w nim pliki na poziomie 3, uruchom Eksploratora Windows, a następnie w oknie Mój komputer skopiuj lub przenieś plik lub folder do folderu Dokumenty udostępnione. Lokalne uprawnienia systemu NTFS:
· Użytkownicy zaawansowani: Zmiana
· Użytkownicy z ograniczonym dostępem: Odczyt
Poziom 4: Udostępnianie w sieci (tylko do odczytu)
Pliki są udostępnione do odczytu wszystkim użytkownikom w sieci. Wszyscy użytkownicy lokalni, w tym korzystający z konta gościa, mogą odczytywać pliki, ale nie mogą modyfikować ich zawartości. Każda osoba może odczytywać i zmieniać pliki użytkownika. Aby skonfigurować folder i wszystkie znajdujące się w nim pliki na poziomie 4, wykonaj następujące kroki:
2. Kliknij, aby zaznaczyć pole wyboru Udostępnij ten folder.
3. Kliknij, aby wyczyścić pole wyboru Zezwalaj użytkownikom sieci na zmianę moich plików, a następnie kliknij przycisk OK.
· Wszyscy: Odczyt
Poziom 5: Udostępnianie w sieci (do odczytu i zapisu)
Ten poziom jest najbardziej dostępnym i najmniej bezpiecznym poziomem dostępu. Każdy użytkownik (lokalny lub zdalny) może odczytać, zapisać, zmienić lub usunąć plik w folderze udostępnianym na tym poziomie dostępu. Firma Microsoft zaleca korzystanie z tego poziomu tylko w sieci zamkniętej, dla której skonfigurowano zaporę. Wszyscy użytkownicy lokalni, w tym korzystający z konta gościa, mogą również odczytywać i modyfikować pliki.Aby skonfigurować folder i wszystkie znajdujące się w nim pliki na poziomie 5, wykonaj następujące kroki:
2. Kliknij, aby zaznaczyć pole wyboru Udostępnij ten folder, a następnie kliknij przycisk OK.
· Wszyscy: Zmiana
· Wszyscy: Pełna kontrola
UWAGA: Wszystkie uprawnienia NTFS odnoszące się do grupy Wszyscy dotyczą także konta gościa. Wszystkie poziomy opisane w tym artykule wzajemnie się wykluczają. Foldery prywatne (poziom 1) nie mogą być udostępniane, chyba że przestaną być prywatne. Foldery udostępnione (poziom 4 i 5) nie mogą stać się prywatnymi, dopóki nie wyłączy się ich udostępniania. W przypadku utworzenia folderu w folderze Dokumenty udostępnione (poziom 3), udostępnienia go w sieci, a następnie zezwolenia użytkownikom w sieci na zmianę plików (poziom 5), uprawnienia poziomu 5 zostaną zastosowane w odniesieniu do tego folderu, znajdujących się w nim plików, folderów podrzędnych i tak dalej. Inne pliki i foldery z folderu Dokumenty udostępnione pozostaną skonfigurowane na poziomie 3. Uwaga: Jedyny wyjątek to sytuacja, w której folder (PrzykładowyPodfolder) udostępniony na poziomie 4, znajduje się w folderze (PrzykładowyFolder) udostępnionym na poziomie 5. Użytkownicy zdalni mają prawidłowy poziom dostępu do każdego z tych udostępnionych folderów. Użytkownicy zalogowani lokalnie mają jednak uprawnienia do zapisu (poziom 5) w odniesieniu do folderu nadrzędnego (PrzykładowyFolder) i podrzędnego (PrzykładowyPodfolder).
Zasady praktyczne
Firma Microsoft zaleca udostępnianie folderów tylko w sieci, do której muszą uzyskać dostęp użytkownicy zdalni z innych komputerów. Firma Microsoft nie zaleca udostępniania katalogu głównego dysku systemowego, ponieważ naraża to komputer na działania złośliwych użytkowników zdalnych. Komputer staje się wtedy bardziej narażony na ataki złośliwych użytkowników. Karta Udostępnianie okna dialogowego Właściwości dysku wyświetla ostrzeżenie, gdy nastąpi próba udostępnienia katalogu głównego (na przykład C:\). Aby kontynuować, należy kliknąć łącze Jeśli masz świadomość ryzyka, ale mimo to chcesz udostępnić katalog główny dysku, kliknij tutaj.
Jedynie administratorzy komputera mogą udostępnić katalog główny dysku.Pliki na urządzeniu służącym tylko do odczytu, takim jak stacja CD-ROM, po udostępnieniu na poziomie 4 lub 5 są dostępne tylko wówczas, gdy dysk CD znajduje się w stacji CD-ROM. Każdy dysk CD znajdujący się w stacji CD-ROM jest dostępny dla wszystkich użytkowników sieci. Uprawnienia dla pliku mogą się różnić od uprawnień dla folderu zawierającego ten plik, jeśli spełniony jest jeden z następujących warunków:
· W wierszu polecenia użyto polecenia move, aby przenieść do danego folderu plik z innego folderu znajdującego się na tym samym dysku, ale o innych uprawnieniach.
· Użyto skryptu, aby przenieść do danego folderu plik z innego folderu znajdującego się na tym samym dysku, ale o innych uprawnieniach.
· W wierszu polecenia uruchomiono program Cacls.exe lub skrypt w celu zmiany uprawnień dla pliku.
· Na dysku twardym istniały pliki przed zainstalowaniem systemu Windows XP.
· Zmieniono uprawnienia dla pliku przy wyłączonym prostym udostępnianiu plików w systemie Windows XP Professional.
UWAGA: Uprawnienia NTFS nie są zachowywane w wyniku operacji przenoszenia plików za pomocą Eksploratora Windows przy włączonym prostym udostępnianiu plików. W przypadku włączania i wyłączania prostego udostępniania plików uprawnienia dla plików nie zmieniają się. Uprawnienia systemu NTFS i uprawnienia udziału nie ulegają zmianie, dopóki nie nastąpi zmiana uprawnień w interfejsie. Ustawienie uprawnień przy włączonym prostym udostępnianiu plików wpływa tylko na wpisy kontroli dostępu (ACE) tych plików, które są objęte prostym udostępnianiem plików. Interfejs prostego udostępniania plików wpływa na następujące wpisy ACE listy kontroli dostępu (ACL) plików i folderów:
· Właściciel
· Administratorzy
· Wszyscy
· System
Rozwiązywanie problemów z udostępnianiem plików w systemie Windows XP
Komputer z systemem Windows 2000 Professional lub Windows NT 4.0, który jest przyłączony do domeny lub grupy roboczej, po uaktualnieniu do systemu Windows XP Professional zachowuje swoje członkostwo w domenie lub grupie roboczej, a klasyczny interfejs udostępniania plików i zabezpieczeń jest włączony.
Uprawnienia systemu NTFS i udziału nie zmieniają się w wyniku uaktualnienia.Jeżeli uaktualniany jest komputer o uprawnieniach udostępniania „dla udziału”, na którym uruchomiono system Windows 98, Windows 98 Wydanie drugie lub Windows Millennium Edition, po uaktualnieniu do systemu Windows XP proste udostępnianie plików jest domyślnie zawsze włączone.
Po uaktualnieniu udziały o przypisanych hasłach są usuwane, a udziały o hasłach pustych pozostają...
Artcompx