Active Directoryאבטחת מידעהסבר כללימדריכים

הרשאות NTFS והרשאות שיתופים

במדריך זה אלמד אתכם הרשאות NTFS והרשאות Shares (שיתופים).

מה זה בכלל הרשאות שיתופים, ומה ההבדל בין הרשאות שיתוף להרשאות NTFS.

גילוי נאות: הנהלת האתר לא תישא בשום נזק כלשהו שייגרם כתוצאה מעבודה לפי מדריך זה. השינויים והעבודה על אחריות המשתמש בלבד.

הקדמה ומושגים

  • שיטת חלוקת הרשאות של Microsoft (ושל IBM) שפותחה במיוחד למערכת ההפעלה Windows.
  • הרשאות NTFS נתמכות בדר”כ רק במערכת הפעלה Windows -כמובן שעם הזמן יצרנים שונים התאימו את עצמם ל Windows ותומכים בצורה רשמית בהרשאות NTFS.
  • ראשי תיבות של NTFS זה New Technology File System
  • מערכת ה-NTFS נועדה להחליף את FAT המיושנת שכיום חוץ מ DOK לטובת Boot כל שהוא, אני לא רואה סיבה להשתמש בזה במערכת הפעלה Windows.
  • מערכת NTFS נועדה לתמוך בקבצים גדולים יותר, ניתן לקבוע הרשאות ברמת הקובץ ועוד..
  • הרשאות NTFS מיועדות לעבוד ברשת ומקומית.

הרשאות שיתוף (Share)

הרשאות שיתוף משמשות אותנו לטובת נגישות לקבצים דרך הרשת בלבד.

סוג הרשאות זה דיי פשוט, יש לנו 3 אפשרויות בסה”כ שאפרט עליהם בהמשך.

הרשאות שיתוף הן הרבה פחות מסובכות מהרשאות NTFS

בתצורה זו כמו שכתבתי למעלה, אנו שולטים על רמת הנגישות לתיקיות או קבצים דרך הרשת.

ישנן 3 אפשרויות בסה”כ:

  1. הרשאות מלאות Full Control – הרשאות אלו מאפשרות לאדם אחר לשנות הרשאות שיתוף, לקחת בעלות על קבצים ותיקיות בשיתוף וכמובן לשנות את ההרשאות שיתוף עצמן.
  2. שינוי Change – הרשאות שינוי אומרות שהמשתמש יוכל לקרוא / לפתוח (הפעלה) / לכתוב / למחוק קבצים ותיקיות.
  3. קריאה Read- למשתמש תהיה אפשרות רק לראות את תוכן התיקייה (כולל פתיחת קבצים).

תמונה להמחשה:

שימו לב שהרשאות שיתוף לא חופפות להרשאות NTFS ולא יאפשרו לנו לבצע פעולות שב NTFS אפשרנו ובשיתוף לא.

כניסה להרשאות שיתוף

על מנת להגיע להרשאות שיתוף נלחץ קליק ימני על התיקייה, שם נכנס ל”מאפיינים” ושם נעבור ללשונית “שיתוף”

אנו נראה 2 אפשרויות:

  1. שיתוף- זו היא אפשרות בסיסית שמאפשרת גם לשנות הרשאות NTFS, לא מומלץ לעבוד בשיטה הזו.
  2. שיתוף מתקדם- זו היא שיטת העבודה המומלצת לדעתי, שם ניתן לבחור את האפשרויות שאנו רוצים לתת לשיתוף עצמו כמו שכתבתי למעלה.

כפתור Caching

אז מה כפתור Caching עושה?

כפתור זה מאפשר לנו לעבוד במצב “לא מקוון”

פירוט על האפשרויות המוצגות:

  • Only the files and programs that users specify are available offline היא אפשרות ברירת מחדל. קבצים לא יהיו זמינים במצב לא מקוון כברירת מחדל, למשתמש יש את האפשרות להחליט איזה תיקיות וקבצים יהיו זמינים במצב לא מקוון.
שימו לב: קבצים לא מקוונים תופסים עד 10% מנפח הדיסק במחשב המקומי. כמובן שניתן לשנות את גודל האחוזים.
  • כפתור Enable BranchCache מאפשר למחשבים באותה הרשת לשמור קבצים מהתיקייה המשותפת ואחרי זה לתת גישה למחשבים אחרים בצורה מאובטחת.
  • No files or programs from the share are available offline – שום קובץ או תיקיה לא יהיו זמינים במצב לא מקוון.
  • All files and programs that users open from the share are automatically available offline – כל הקבצים התיקיות שלמשתמש יש הרשאה עליהם והוא פתח אותם יהיו זמינים באופן אוטומטי במצב לא מקוון.

הרשאות NTFS

בתצורה זו ניתן לתת הרשאות ממש אבל ממש מפורטות פייר משתמש / קבוצה על כל קובץ / תיקיה או תתי תיקיות ותתי קבצים.

שימו לב: זהו פרק מאד חשוב וצריך להבין מה כל דבר עושה, טעות קטנה יכולה לעלות לכם בהרבה מאד שעות עבודה.

על מנת להיכנס להרשאות NTFS נלחץ קליק ימני על התיקייה / קובץ, נבחר ב “מאפיינים” ושם נלחץ על הטאב “אבטחה”

זה החלון שנקבל:

בטאב זה יהיו לנו 2 אפשרויות:

  • הרשאות “פשוטות” שהם כלליות, כמו למשל קריאה והפעלה, הרשאות מלאות וכו..
  • הרשאות “מתקדמות” שם יהיה לנו אפשרות לסמן בדיוק מה אנו רוצים. נתמקד בהרשאות המתקדמות.

כעת נלחץ על Advanced ויוקפץ החלון הבא:

בתמונה לעיל, כל הלשוניות מוספרו, להלן ההסבר על כל לשונית:

  • הרשאות Permissions – בחלון הזה ניתן לשלוט על ההרשאות שניתן לכל קבוצה / משתמש.
  • שיתוף Share- בחלון הזה ניתן לשלוט על ההרשאות שיתוף.
  • ביקורת Auditing – אפשרות זו מאפשרת לנו לדעת מי מחק קבצים / תיקיות ואיזה שינויים בוצעו. לשים לב שחובה להפעיל את זה ברמת ה-GPO. חלון מאד חשוב למי שמפעיל Auditing על קבצים ותיקיות.
  • גישה תקפה/גישה בפועל Effective Access – באמצעות אפשרות זו ניתן לבדוק אילו הרשאות קיימות למשתמש / קבוצה על התיקייה / קובץ הרלוונטיים.

הרחבה על הטאבים

הרשאות Permissions

יש מספר הרשאות שניתן להגדיר:

נלחץ על Add ולאחר מכן נבחר משתמש שאנו רוצים להחיל עליו את ההרשאות.

כעת, נלחץ על show advanced permissions על מנת לראות את ההרשאות המתקדמות.

יופיעו לפניכם כל סוגי ההרשאות:

להלן הסבר מהי כל הרשאה:

Full Control – הרשאות מלאות

הרשאות מלאות – הכל כולל הכל! בדר”כ ניתן את ההרשאות הללו רק למשתמש Administrator. לא מומלץ לתת הרשאה כזו ב Server File בארגון.

דוגמה:

הבאנו לדוד הרשאת Full Control – כעת דוד יכול לעשות כל העולה על רוחו בקבצים ובתיקיות, כולל מחיקה, עריכה ועוד..

Travers Folder/Execute File – העברת תיקיה / הפעלת קובץ

הרשאה זו מאפשרת / שוללת מעבר בתיקיות מוגבלות על מנת להגיע לתת תיקיה ששם יש למשתמש הרשאות הפעלה של קבצים.

חלק מן ההרשאה הזו (Execute File) מחייב לתת אפשרות להפעיל קבצים, כי בדיוק כמו שפותחים תיקיה כך גם ניתן לפתוח קובץ. ניתן להגדיר הרשאה זו על תיקיות ותתי תיקיות ואז לא יהיה ניתן לפתוח קבצים- יורחב בהמשך.

דוגמה:

אני רוצה לאפשר לדוד לגשת לתיקיה: d:\data\test1

אבל אני לא רוצה שדוד יעשה מה שהוא רוצה בתיקיה data.

אז אפעיל את האפשרות הזו ודוד לא יוכל לעשות כלום חוץ מלהגיע ליעד שלו לתיקיה test1.

List Folder/ Read Data – פירוט תיקיה/ קריאת נתונים

הרשאה זו מאפשרת / שוללת צפייה בשמות של קבצים ותתי תיקיות (לא חל על התיקייה עצמה שעליה נתנו את ההרשאות).

גם פה מכיוון שיש לנו Read Data אז ניתן לאפשר או לשלול צפייה בקבצים (לפתוח את הקבצים ולראות מה יש בתוכם).

שימו לב: זו הרשאה המגיעה כברירת מחדל כאשר מגדירים “קריאה בלבד”.

דוגמה:

אני רוצה שדוד יוכל להגיע לתיקיה d:\data\test3

אבל אני לא רוצה שיהיה לו הרשאות למחוק קבצים או לבצע שינויים, זאת אומרת שאם הוא ינסה לגשת ל:

d:\data

וינסה לשנות קובץ הוא יקבל שגיאה שאין לו הרשאות.

כמובן שדוד יוכל לפתוח קבצים בתיקיה data.

Read Attributes – קריאת תכונות

הרשאה זו מאפשרת / שוללת צפייה בתכונות של הקובץ / תיקיה, למשל אם הקובץ הוא קריאה בלבד או שהוא מוסתר.

לדוגמה:

אני רוצה שדוד ידע האם הקובץ הוא מוסתר או לא, אז אם דוד יכנס למאפיינים של הקובץ הוא יראה את המידע הזה במידה ואפשרתי את ההרשאה הזו.

Read Extended Attributes – קריאת תכונות מורחבות

דומה מאד לסעיף למעלה, רק שפה זה נקבע ע”י תוכנות ועשוי להשתנות בהתאם לתוכנה.

דוגמה: תוכנה שדוד יריץ תוכל לבדוק שהקובץ מוסתר או לא.

Creat Files /Write Data – יצירת קבצים / קביעת נתונים

הרשאה זו מאפשרת / שוללת יצירת קבצים בתוך תיקיה, כמו כן ניתן יהיה לבצע שינויים בקבצים והחלפת קבצים (למשל עריכת קובץ Word ואז שמירה שלו מבצעת פעולה של החלפה – הקובץ הקיים נמחק ואז נשמר עותק חדש ועדכני).

דוגמה:

דוד רוצה שתהיה לו הרשאה ליצור קבצים, למשל קובץ Word.

אם נסמן את ההרשאה הזו כמאופשרת, דוד יוכל לערוך קבצים, ליצור אותם וכמובן למחוק אותם.

Create Folders/ Append Data – יצירת תיקיות / צירוף קבצים

הרשאה זו מאפשרת / שוללת יצירת תתי תיקיות בתוך תיקיה קיימת.

כמו כן, ניתן לשנות תוכן של קבצים אבל לא למחוק או לשנות את הקובץ הקיים.

דוגמה:

אפשרתי לדוד את ההרשאה הזו, כעת דוד יכול ליצור תיקיות תחת התיקייה שעליה נתתי את ההרשאה.

Write Attributes – כתיבת תכונות

כמו ההרשאה Read Attributes רק שפה ניתן לשנות תכונות.

דוגמה:

במידה וסימנתי את ההרשאה הזו כמאופשרת, דוד יוכל לקבוע שהקובץ יהיה מוסתר או לבטל הסתרה של קובץ.

הרשאה זו לא מאפשרת ל”בוב” למחוק / לשנות קבצים / תיקיות.

Write Extended Attributes – כתיבת תכונות מורחבות

אותו עקרון כמו Read Extended Attributes , רק שפה ניתן לשנות תכונות.

דוגמה:

במידה וסימנתי את ההרשאה הזו כמאופשרת, תוכנה שדוד יריץ תוכל לקבוע שהקובץ יהיה מוסתר או לבטל הסתרה של קובץ.

הרשאה זו לא מאפשרת ל”בוב” למחוק / לשנות קבצים / תיקיות.

Delete Subfolders and Files – מחיקת תיקיות משנה וקבצים

הרשאה זו מאפשרת / שוללת מחיקת תתי תיקיות וקבצים, ההרשאה לא מאפשרת למחוק את התיקייה עצמה שממנה ההרשאות מגיעות (תיקיית האב).

הרשאה זו חזקה יותר מההרשאה Delete!

דוגמה:

נתתי לדוד הרשאה לבצע מחיקה לתתי תיקיות וקבצים, את ההרשאה נתתי על:

D:\data

זאת אומרת שבתיקיה Data דוד לא יכול לעשות כלום, אבל כל מה שמתחתיה הוא יכול למחוק תיקיות / קבצים.

Delete – מחיקה

הרשאה זו מאפשרת / שוללת מחיקת קובץ או תיקיה ספציפית!

הרשאה זו אינה מחלחלת לתתי תיקיות או קבצים.

כמו כן, במידה ומסומן Delete Subfolders and Files על התיקיה מעל , אז ההרשאה Delete לא תקפה.

דוגמה:

נתתי לדוד הרשאות Delete על התיקיה D:\data\test10

בכזה מצב, דוד יכול למחוק קבצים ותיקיות שנמצאות בתוך D:\data\test10 בלבד!

Read Permissions – הרשאות קריאה

הרשאה זו מאפשרת / שוללת לראות את ההרשאות הקיימות.

דוגמה:

דוד רוצה לדעת האם יש לו ואם כן איזה הרשאות על תיקיה.

אם הוא יכנס לחלון של ההרשאות ולא אפשרתי את ההרשאה הזו, לא יוצג לו כלום.

במידה ואפשרתי את ההרשאה הזו, הוא ידע בדיוק מה מותר ומה אסור לו.

Change Permissions – הרשאות שינוי

הרשאה זו מאפשרת / שוללת שינוי הרשאות קיימות.

דוגמה:

אם אסמן את האפשרות הזו דוד יכול להיכנס ללשונית של ההרשאות ולהוסיף / להסיר / לשנות הרשאות כאוות נפשו.

Take Ownership – קבלת בעלות

הרשאה זו מאפשרת / שוללת אפשרות של קבלת בעלות על קבצים ותיקיות. במידה ולמשתמש אין הרשאות על הקובץ אבל הוא הבעלים, המשתמש תמיד יכול להוסיף לעצמו הרשאות על הקובץ / תיקיה.

דוגמה:

דוד יצר קובץ Word כל שהוא, הוא הבעלים של הקובץ כעת, גם אם אסיר לו את ההרשאות, עדיין דוד יכול להוסיף לעצמו הרשאות על הקובץ.

אופציות נוספות

לאחר שהבנו מהי כל הרשאה, נרחיב על האופציות הנוספות:

בחלון הזה יש לנו מספר אפשרויות:

  1. בחירת המשתמש שעליו נחיל את ההרשאות
  2. ניתן לבחור האם ההרשאה תהיה מאופשרת או שנשלול לו את ההרשאה. שימו לב: הרשאות Deny תמיד אבל תמיד יותר חזקות מהרשאות Allow !!
  3. על מה להחיל את ההרשאות?
  4. יש מספר אפשרויות (תרגום לעברית למטה):

מלמעלה למטה:

  • תיקיה זו בלבד
  • תיקיה זו, תתי תיקיות וקבצים
  • תיקיה זו ותתי תיקיות
  • תיקיה זו וקבצים
  • תתי תיקיות וקבצים בלבד
  • תתי תיקיות בלבד
  • קבצים בלבד

אם נחזור למסך הראשי של ההרשאות נוכל לראות את האפשרות הזו:

  1. הכפתור Disable inheritance בעצם מבטל את כל ההרשאות שהגיעו מהתיקייה למעלה.

כאשר נלחץ עליו המערכת הפעלה תשאל אותנו מה אנחנו רוצים לעשות:

  • להשאיר את כל ההרשאות כמו שהם עכשיו אבל להתחיל להחיל הרשאות מהתיקייה הזו.

תמונה להמחשה:

  • להסיר את כל ההרשאות שמגיעות מתיקיית האב – במידה ותבחרו באופציה הזו רשימת ההרשאות תהיה ריקה לחלוטין!

תמונה להמחשה:

בהודעה שתוקפץ נבחר ב- Remove all inherited permissions from this object על מנת למחוק את ההרשאות:

דוגמה:

יש לי תיקיה ב: D:\data\MyFolder

על תיקיה Data נתתי הרשאות Full Control ל-Everyone (לא מומלץ)

אני לא רוצה של-Everyone יהיה הרשאות על התיקייה MyFolder, בכזה מצב אני אלחץ על Disable inheritance ואם אחליט להסיר את ההרשאות הקיימות אבחר ב-Remove.

כל ההרשאות שמעתה והלאה אתן על Data לא יחולו על MyFolder !!

2. במידה ונסמן ב-V את replace all child object permissions with inheritable permissions from this object

כל, אבל כל ההרשאות שקיימות על התיקייה הזו יחולו באופן אוטומטי על התתי תיקיות וקבצים. אם יש הרשאות שונות על תתי תיקיות, ההרשאות האלו ימחקו ובמקומם נקבל את ההרשאות שיש על התיקייה הזו!

Effective Access – גישה תקפה

כעת נחזור למסך הראשי של ההרשאות, נראה שם את הלשונית Effective Access

לשונית זו בעצם נותנת לנו מידע איזה הרשאות יש למשתמש / קבוצה על קבצים / תיקיות.

  1. נלחץ על הלשונית המדוברת
  2. נבחר משתמש או קבוצה שנרצה לבדוק איזה הרשאות יש להם
  3. נלחץ על הכפתור Access Effective View על מנת לצפות בהרשאות שיש למשתמש.

דוגמה לבדיקת Effective Permissions

להלן דוגמה לבדיקה של הרשאות משתמש:

הרשאות Deny למשתמש

כפי שניתן לראות במקרה שלנו נתתי למשתמש TestUser הרשאות Deny על List folder / Read data (תזכורת: Deny תמיד יותר חזק)

כמו כן החלתי את ההרשאה הזו רק על התיקייה הנוכחית ותתי תיקיות, לא כולל קבצים.

בכזה מצב המשתמש לא יכול להיכנס לתיקיה c:\data\TestUser , אבל הוא כן יכול להיכנס לתיקיה c:\data

בכזה מצב מנעתי מהמשתמש לחטט בתיקיות, המשתמש יכול לפתוח קבצים עם קישור ישיר בלבד, למשל:

c:\data\TestUser\ProfileImage.jpg

הרשאות Allow למשתמש

נתתי למשתמש TestUser הרשאות Allow על תיקיה זו, תתי תיקיות וקבצים עם מספר הרשאות, שימו לב שחלק מהדברים זה List Folder / Read Data

הדברים היחידים שלא אפשרתי למשתמש זה מחיקת התיקייה עצמה (Delete), שינוי הרשאות (Change Permissions), בעלות לקחת וכמובן (Take Ownership).

בעיניי זו ההרשאה הקלאסית ל FC אבל בלי FC באמת.

צפייה בהרשאות הקיימות למשתמש

בחרתי את המשתמש TestUser ורציתי לראות איזה הרשאות קיימות עליו.

כפי שניתן לראות כל מה שסימנתי ב-Allow מסומן שיש הרשאות מלבד List Folder / Read Data ששמתי אותו ב-Deny ,וכמו שכבר הבנתם, Deny תמיד יותר חזק!

בעלות

אז מה זה בעצם אומר בעלות?

בעלים – מי שיצר את הקובץ / תיקיה בתנאי שיש לו הרשאות להיות בעלים.

זוכרים שהורדנו את Creator Owner מההרשאות? זה לא סתם.

במידה ולמשתמש יהיה הרשאות להיות בעלים של קובץ הוא יוכל (כמו שהובא לעיל) לשנות הרשאות ולבצע שינויים (במידה ומאופשר לו מבחינת הרשאות NTFS).

כמובן שהמינוס הכי גדול פה לדעתי זה שלך כ- Administrator לא יהיה הרשאות לגעת בקובץ ואז תהיה חייב לקחת בעלות.

זה גם יכול לדפוק את הגיבוי- אם אתה עובד על גיבוי קבצים אבל אין לך הרשאות כי אתה לא הבעלים…

על מנת לשנות את הבעלים על קובץ / תיקיה ניכנס ללשונית של האבטחה ונלחץ על Change כמו בתמונה הבאה:

נבחר במשתמש הרלוונטי ונאשר.

לאחר מכן, ה Windows ייתן לנו אפשרות להחיל את הבעלות על כל התתי קבצים והתיקיות.

תמונה להמחשה:

שימו לב: באותו רגע, במידה ושיניתם הרשאות ועוד לא החלתם אותם, הוא גם יחיל את כל ההרשאות מאותו חלון, לכן עדיף פעם אחת לשנות בעלות ואם יש צורך לאשר את הכל ולסגור, ואז לפתוח מחדש ולשנות הרשאות.

לאחר שאישרתי את החלון של החלפת הבעלות גם על תתי תיקיות וקבצים, הקובץ c:\data\testtxt.txt קיבל בעלות חדשה וכעת Test1 הוא הבעלים:

שימו לב: לא בוצע שום שינוי ברמת ההרשאות NTFS ולכן ההרשאות לא השתנו, רק הבעלים ישתנה.

איך לתת הרשאות בצורה נכונה

ניקח מצב שיש לכם עץ תיקיות תחת c:\data

שם יש לכם 3 תיקיות: Folder Test1, Folder Test2, Folder Test3

יש לכם 4 משתמשים ב-Active Directory לכדלהלן: Test1, Test2, Test3, Test4

אני רוצה לתת הרשאות למשתמשים Test2 + Test1 קריאה בלבד על התיקייה Test2

ואני רוצה לתת הרשאות מלאות למשתמשים Test4 + Test3 על התיקייה Test2.

איך אני אעשה את זה בצורה חכמה?

בשלב הראשון אני אצור קבוצות חדשות ב-AD. ואדאג לסדר את הקבוצות תחת OU רלוונטי כמו בעץ OU הבא:

בתוך ה OU בשם NTFS Groups יצרתי 2 קבוצות:

  • קבוצה 1 בשם Folder Test2 – RO

בתוכה יהיו המשתמשים עם הרשאות קריאה בלבד על התיקייה הרלוונטית.

שימו לב: כתבתי למטה ב “Notes” את הפרטים של איזו תיקיה בדיוק מדובר ובאיזה שרת. לא חובה אבל מאד מומלץ לרשום על מנת לשמור על סדר ואם טכנאי אחר ינסה להבין, אז שידע על מה מדובר.

תמונה להמחשה:

כמובן צירפתי את המשתמשים שכתבתי למעלה לקבוצה הזו:

לאחר מכן, אצור עוד קבוצה.

  • קבוצה 2 בשם Folder Test2 – FC

בתוכה יהיו המשתמשים עם הרשאות קריאה ועריכה על התיקייה הרלוונטית.

תמונה להמחשה:

וכמובן רשימת משתמשים בתוך הקבוצה הזו:

כעת נעבור להרשאות ,NTFS שם אתן את ההרשאות לפי הקבוצה הרלוונטית שפתחתי לפני כן.

הכנסת הרשאות ל-Domain Users

אלך לתיקיה הראשית (המשותפת במקרה שלי) ואתן הרשאות ל-Domain Users קריאה בלבד על התיקייה Data עצמה ללא תתי תיקיות וקבצים על מנת שהמשתמשים יוכלו להיכנס לתיקיה הראשית וממנה לנווט לתיקיות האחרות לפי ההרשאות שלהם.

מבחינת אבטחת מידע אין להכניס Everyone בהרשאות, לא ב NTFS ולא בשיתופים.

לעיתים בשיתוף כן ניתן להכניס אבל זה תלוי בתוכן התיקייה (למשל התקנות MSI שהמחשבים צריכים גישה דרך GPO אז כן אכניס Everyone, ושוב, רק בשיתופים)

תמונה להמחשה:

כעת ניתן על התת תיקיה הרשאות לפי הקבוצות שיצרנו.

ככה נראה חלון הרשאות כברירת מחדל:

אני תמיד מנקה את ההרשאות הקיימות למצב שיישאר לי רק את:

  • קבוצה – Administrators
  • System – מובנה במערכת

אבל ברגע שננסה להסיר את כל השאר נקבל את השגיאה הבאה במסגרת האדומה:

השגיאה בעצם אומרת לנו שלא ניתן להסיר הרשאות קיימות מכיוון שההרשאות מגיעות בירושה מתיקיית האב.

בכזה מצב נלחץ על הכפתור במסגרת הירוקה Disable inheritance וההרשאות לא יתקבלו מלמעלה.

נקבל את ההודעה הזו וכמובן נבחר באופציה הראשונה על מנת להמיר את ההרשאות מתיקיית האב:

לאחר מכן אנו נראה בחלון ההרשאות שההרשאות לא יתקבלו בירושה משום תיקיה:

ואז נגיע למצב הרצוי שההרשאות נקיות לפי מה שבחרתי (סימנתי את מי שאני לא רוצה ולחצתי על Remove):

כעת נוסיף את ההרשאות על הקבוצות שיצרנו בשלב הקודם וניתן להם את ההרשאות לפי השם של הקבוצה.

במקרה שלי אני מכניס את הקבוצה Folder Test2 -FC ונותן לה הרשאות שהם Full Control לפי נקודת מבטי.

כמו שכתבתי למעלה, מבחינתי ההרשאה האולטימטיבית ל-FC מבלי לתת FC זה לפי החלון הבא:

מה שביטלתי את הסימון שלהם זה בשביל למנוע:

  • Delete – שלא ימחקו את התיקייה עצמה
  • Change Permissions – שלא יוכלו לשנות הרשאות על קבצים / תיקיות
  • Take Ownership – שלא יוכלו לקבל בעלות על קבצים / תיקיות
  • Full Control – באופן אוטומטי הסימון מתבטל ברגע שנוריד V מהרשאה מסוימת

לאחר מכן הוסיף את הקבוצה Folder Test2 – RO כמובן עם הרשאות קריאה והפעלה בלבד:

ניתן לקרוא מה זה כל דבר בפירוט למעלה. בגדול – קריאה והפעלת תיקיות וקבצים ולא יותר מזה, למשתמשים בקבוצה הזו לא יהיה אפשרות למחוק / לשנות / לערוך וכו’ שום קובץ או תיקיה.

בדיקת הרשאות תיקיה

כעת נעבור לבדיקה שבאמת זה תקין.

אני מתחבר עם המשתמש Test1 וכמו שכתבתי למעלה, המשתמש נמצא בקבוצה Folder Test2 – RO

כאשר אני מנסה לגשת לתיקיה

C:\Data\Folder Test2

אני מצליח:

אם אנסה לגשת לתיקיה שאין לי הרשאות אליה, למשל לתיקיה

c:\Data\Folder Test1

אקבל את השגיאה שאין לי הרשאות:

זוכרים שנתתי הרשאות על התיקייה Data הראשית ש-Domain Users יוכלו להיכנס לתיקיה עצמה בלבד? ראו את ההרשאות שנתתי בתמונה למטה

שימו לב: הצלחתי להיכנס לתיקיה Data משום שסימנתי רק את האופציה This Folder Only. למשתמש אין הרשאות לפתוח קבצים או ליצור תיקיות או קבצים.
הסיבה שלא ניתן לפתוח קבצים היא משום שסימנתי את This Folder Only ולא את This Folder And Files.

כאשר אני מנסה לפתוח את הקובץ TestTXT אני מקבל את השגיאה הבאה:

במילים פשוטות– אין לך הרשאות ואתה לא הבעלים של הקובץ.

טיפים

  1. לפי המלצת Microsoft לא מומלץ לעבוד על הרשאות פר משתמש, רק פר קבוצות. אפילו למשתמש אחד נפתח קבוצה.
  • יתרון – סדר. בשנייה אחת מעיפים משתמשים מהקבוצה ואין להם יותר הרשאה.
  • חיסרון – מחייב יציאה וכניסה למערכת (במיוחד ב-Domain) על מנת לעדכן את המחשב שהצטרפתם או יצאתם מהקבוצה הרלוונטית.
  1. לא מומלץ לשים הרשאות Deny אם לא חייבים, מספיק שלא מביאים הרשאות Allow
  1. תזכרו תמיד כלל – הרשאות Deny תמיד חזקות יותר מהרשאות Allow !
  2. הימנעו כמה שיותר מחלוקת הרשאות שונות על תתי תיקיות, תמיד תשגיחו לתת הרשאה אחת על תיקיית האב, ומשם שיחלחל לכל שאר תתי התיקיות בירושה.
  3. מומלץ לפתוח 2 קבוצות או יותר פר תיקיית אב עם שם התיקייה וסוג ההרשאות.
  4. כמו כן תחת השדה Notes מומלץ לרשום פירוט על הקבוצה, מהן ההרשאות שניתנו למשתמשים בקבוצה זו
  5. אל תחסכו בפרטים, כל מידע עוזר, תשתדלו לפרט כמה שניתן ואיפה שאפשר. כמובן שיהיה קצר וקולע ולא להתחיל לכתוב מגילות שאף אחד לא יקרא אותן.
  6. במידה וניתן להימנע מהרשאות Creator Owner הימנעו מזה כמה שאפשר. הרשאה זו טובה בעיקר ל-Folder redirection ודברים מסוג זה.

תוכנות ועזרים

התוכנה יודעת להוציא דוח הרשאות ,NTFS שיתוף, בעלות על קבצים ועוד.

ניתן לשמור את הדוח כטמפלייט לפעמיים הבאות.

התוכנה יודעת לייצא את הדוחות למספר פורמטים:

XML, HTML, EXCEL, PDF, CSV

  • Take Ownership – קובץ Registry שמוסיף בתפריט של Explorer אופציה לקחת בעלות על קבצים /תיקיות:
קרדיט לשמואל אלון על המדריך המאלף!

Rami

יזם, איש סיסטם, מתכנת בחסד, ונושם אינטרנט.

מאמרים קשורים

Leave a Reply

Your email address will not be published.

אתה תאהב גם את זה
Close
Back to top button
Skip to content