Hogyan lehet egy egy egyébként everyone modify könyvtárban egy file-t teljesen írás, törlés és átnevezés-védetté tenni ? Nem
Történet:
Sok sok év MS szivás után döbbenten konstatáltam, hogy a Microsoft által implementált ACL-ben (access control list) nem tudom megcsinalni, hogy egy file-t levédjek. Konkrétan arról van szó, hogy törlés átnevezés, és irásvédetté szerettem volna tenni egy filet. Irásvedetté lehet, törlés és átnevezésvedetté nem. Hiába nincs a usernek a file-on csak read joga, ettől még át tudja nevezni, és le tudja törölni (módositani igaz nem tud benne). Természetesen ha a könyvtárra teszek irásvédelmet akkor megy.
A beállított jogok a file-on: everyone read, administrator+system full control. Természetesen a user nem administrator a gépen.
A könyvtaron beállított jogok: everyone modify, admin+system full control
Mivel ezt még mindig nem nagyon bírom elhinni megerősítést várok, hogy tényleg így van. Ha nem, akkor meg ötleteket, hogy mit rontok el.
K:
Hogyan lehet egy egy egyébként everyone modify könyvtárban egy file-t teljesen írás,törles,és átnevezés-védette tenni ? Nem akarok új könyvtárat csinálni neki, és file-share-en keresztül megy, nem lokalisan.
V:
Legelőször vizsgáljuk meg, milyen alapvető jogosultsági beállítások lehetségesek fájlokra és könyvtárakra az NTFS féjlrendszerben.
A jogosultságok beállítására az adott fájl vagy könyvtár tulajdonságait (Properties), a Windows Intézőt (Windows Explorer), vagy a rendszergazda eszközöket használhatjuk (administrative tool)
A Windows 2000 szerver telepítésekor az alapbeállítások mindenki számára teljes hozzáférést biztosítanak: Everyone, Full Control.
Ha egy alkönyvtárat létrehozunk, az örökli a szülő könyvtár tulajdonságait. A rendszergazda módosíthatja a szülő könyvtár, vagy a létrehozott fájlok jogait, beállíthatja bizonyos felhasználói csoportok hozzáférését. Ahhoz, hogy egy felhasználó ilyen módosításokat hajthasson végre, a következő jogosultságokkal kell rendelkeznie:
- full control (teljes hozzáférés) az erőforrás elérésére
- change permission (jogosultság változtatási) jogok
- az erőforrás tulajdonosi joga
NTFS fájl jogosultságok
A fájl jogosultságok meghatározzák a fájl használatot és hozzáférést. Az előre definiált fájl jogosultságok a következők:
- Deny Access: hozzáférés megtiltva
- Modify: módosítás
- Read and Execute: olvasás, végrehajtás
- Full Control: teljes hozzáférés
- Read: olvasás
- Write
A fenti jogosultságok mindegyike speciális jogosultságok csoportját képezi. Az alábbi táblázat összesít minden jogot a fenti jogosultságokhoz kapcsolódóan.
Speciális Jogosultságok |
Full Control |
Modify |
Read & Execute |
Read |
Write |
Könyvtár megnyitás/Fájl végrehajtás |
|
|
|
|
|
Könyvtár listázás/Adat olvasás |
|
|
|
|
|
Attribútum olvasás |
|
|
|
|
|
Kiterjesztett attribútumok olvasása |
|
|
|
|
|
Fájl létrehozás/Adat írás |
|
|
|
|
|
Könyvtár létrehozás/Adat hozzáfűzés |
|
|
|
|
|
Attribútum írás |
|
|
|
|
|
Kiterjesztett attribútum írás |
|
|
|
|
|
Alkönyvtárak és fájlok törlése |
|
|
|
|
|
Törlés |
|
|
|
|
|
Jogosultságok olvasása |
|
|
|
|
|
Jogosultságok változtatása |
|
|
|
|
|
Tulajdonos módosítása |
|
|
|
|
|
Szinkronizálás |
|
|
|
|
|
Az NTFS partíció létrehozásakor a Windows 2000 szerver teljes hozzáférést (Full Control) biztosít az Everyone csoport számára. Ezáltal a felhasználók korlátlan felhasználást élveznek a partíció adataira. A hálózati rendszergazda megváltoztathatja a beállításokat a fokozott biztonság érdekében.
NTFS Mappa/Könyvtár Jogosultságok
A mappák és a könyvtárak ugyanazokkal a jogosultságokkal rendelkeznek, mint a fájlok.
Az előre definiált fájl jogosultságok a következők:
- Deny Access: hozzáférés megtiltva
- Modify: módosítás
- Read and Execute: olvasás, végrehajtás
- Full Control: teljes hozzáférés
- Read: olvasás
- Write
A fenti jogosultságok mindegyike speciális jogosultságok csoportját képezi. Egy könyvtár jogosultságainak beállitása megváltoztatja magának a könyvtárnak a létező jogosultságait és a benne lévő fájlokét. Alkönyvtárakra ez nem vonatkozik (ez külön beállítható)
Új fájlok és alkönyvtárak létrehozásakor ezek öröklik a szülő könyvtár jogosultsági beállításait (beállítható tulajdonság). A következő táblázat a könyvtárakra vonatkozó jogosultságokat mutatja.
Speciális Jogosultságok |
Full
Control |
Modify |
Read
& Execute |
List
Folder Contents |
Read |
Write |
Könyvtár megnyitás/Fájl végrehajtás |
|
|
|
|
|
|
Könyvtár listázás/Adat olvasás |
|
|
|
|
|
|
Attribútum olvasás |
|
|
|
|
|
|
Kiterjesztett attribútumok olvasása |
|
|
|
|
|
|
Fájl létrehozás/Adat írás |
|
|
|
|
|
|
Könyvtár létrehozás/Adat hozzáfűzés |
|
|
|
|
|
|
Attribútum írás |
|
|
|
|
|
|
Kiterjesztett attribútum írás |
|
|
|
|
|
|
Alkönyvtárak és fájlok törlése |
|
|
|
|
|
|
Törlés |
|
|
|
|
|
|
Jogosultságok olvasása |
|
|
|
|
|
|
Jogosultságok változtatása |
|
|
|
|
|
|
Tulajdonos módosítása |
|
|
|
|
|
|
Szinkronizálás |
|
|
|
|
|
|
A Windows 2000-ben beállítható egy naplózási opció, mely a fenti jogosultsági viszonyokhoz kapcsolódó eseményeket a security log (biztonsági napló)-ban tárolja.
A fájlokra és a könyvtárakra beállítható, hogy örököljék-e a szülő könyvtár jogosultságait. (allow inheritable permission). Jogosultságonként egyesével beállítható.
A válasz a fentiek alapján: a törlés csak úgy működhet, ha a szülő könyvtáron Full Control (teljes hozzáférés) van engedélyezve, mert akkor a fájl átveszi a szülőtől az Alkönyvtárak és fájlok törlése jogosultságokat is. Ha a szülő könyvtáron csak a Modify (módosítás) van beállítva, akkor a törlési jogot nem öröklik a fájlok.
Azaz, ha az Alkönyvtárak és fájlok törlése jogosultságok öröklését meggátoljuk, a leírt eset nem fordulhat elő, hogy egy könyvtár jogai felülbírálják egy benne lévő fájl jogait.
Forrás : Netacademia