Встроенные системные группы
Анонимный доступ
Авторизованные пользователи
Создатель-владелец
Удалённый доступ
Все
Интерактивные
Сетевые
Для назначения прав пользователям, объединённым каким-либо признаком входа в систему или способом использования системы применяются встроенные системные группы. В группу Анонимный доступ входят пользователи, не авторизовавшиеся в системе, в группу Авторизованные – наоборот, авторизовавшиеся, в группу Создатель-владелец входят создатели (а значит и получившие право владения объектом), в группу Удалённый доступ – пользователи, получающие доступ к компьютеру по дозвону, Все содержит всех пользователей, независимо ни от чего, Интерактивные
Разрешения на доступ (сетевые и ntfs)
Одним из основных средств администрирования является установление разрешений на объекты файловой системы. Эти разрешения делятся на два типа: разрешения непосредственно на объект файловой системы (только NTFS), либо разрешения на сетевой объект, являющийся ярлыком к объекту файловой системы (любая файловая система). При доступе непосредственно к объекту действуют только разрешения NTFS, при доступе посредством сетевого имени объекта действуют как разрешения на сетевой объект, так и разрешения NTFS (если объект находится на томе NTFS). Таким образом, при доступе к сетевому объекту для того чтобы получить доступ к ресурсу пользователь должен иметь соответствующие права на доступ как к сетевому объекту, так и NTFS-разрешения. При отсутствии хотя бы одного из этих двух типов разрешений в доступе будет отказано.
Ntfs: наследование и приоритеты
На объекты файловой системы NTFS можно устанавливать разрешения на доступ для различных пользователей и групп пользователей. Для каждого вида доступа можно устанавливать разрешение или запрещение на этот вид. При этом, если пользователь принадлежит нескольким группам, и установлены различные разрешения для этих групп, а также ещё и разрешения непосредственно для пользователя, то явно установленные разрешения суммируются.
В иерархии файловой системы по умолчанию действует наследование: для каждого дочернего объекта включаются родительские разрешения. В случае установления явных разрешений для данного объекта для какой-либо группы пользователей или пользователя разрешения, установленные для них в результате действия наследования и явно установленные разрешения суммируются. Наследование родительских разрешений можно отменить для любого из дочерних объектов (тогда и его потомки не будут наследовать от своих уже прародителей). С другой стороны, для любого из родительских объектов можно установить опцию, после применения которой разрешения для всех его потомков всех уровней сбросятся и включится перенос наследуемых разрешений.
Существуют два типа объектов файловой системы и два типа разрешений: соответственно, файлы и папки, разрешение и запрещение. Разрешения каждой пары типов взаимодействуют между собой согласно приоритетам.
При установлении разрешений на папку, содержащую файл, и отмене наследования файлом родительских разрешений возможна ситуация, когда права на доступ к папке у пользователя отсутствуют, а права на доступ к файлу имеются. В таком случае пользователь получит доступ к файлу, если он знает путь к этому файлу. В этом состоит приоритет разрешений, установленных на папки над разрешениями, установленными для файла.
В результате суммирования всегда может возникнуть ситуация, в которой для одного пользователя установлено как «разрешающее», так и запрещающее разрешение на один и тот же вид доступа. В таком случае приоритет имеет запрет.