Начало ▶ Информация ▶ Обработка ▶ Компьютер ▶ Программа ▶ ОС ▶ „Windows” ▶
Разрешение NTFS
www.pavelkalinin.narod.ru/ru1/t2d58.htm  [2016`07`06]
NTFS — new technology file system (файловая система новой технологии).   Вики­Пед.
NTFS--Permission.xls”.
Папки с установленными разрешениями NTFS помечаем файлом  ' Permis.txt.
Наборы разрешений. Определение идентификаторов.
Приёмы
Ниже используются идентификаторы наборов разрешений NTFS. Эти наборы разрешений и их идентификаторы определены на странице „Наборы разрешений. Определение идентификаторов.” (см. ссылку выше).
„\”  (Корневая папка)
По‑умолчанию операционная система задаёт следующие NTFS-разрешения.
Sys   {П Пп Ф} Полн
Админ {П Пп Ф} Полн
Все   {П     } ЧтенВ
Польз {П Пп Ф} ЧтенВ
Польз {П Пп  } СоздП
Польз {  Пп  } СоздФ
Влад  {  Пп Ф} Полн
При таких правах рядовой пользователь может создавать объекты, где ему угодно (только файлы не сможет создавать в корневой папке). Если мы рассчитываем сами определять места активности рядовых пользователей, то надо ужесточить разрешения (см. ниже).
Том Системный  („%SystemDrive%\”)
  Sys   { П Пп  Ф} Полн
  Админ { П Пп  Ф} Полн –УдПпФ = ПолнПочти
  Все   { П      } ЧтенВ
  Польз { П Пп  Ф} ЧтенВ
  Польз {–П Пп   } СоздП
  Польз {   Пп   } СоздФ
  Влад  {   Пп –Ф} Полн –ЧтенВ –Созд –УдПпФ –Смен = ЗапА Уд
+ Влад  {       Ф} Зап Уд
Здесь мы убрали право создавать папки в корневой папке. Важно также то, что мы убрали из прав владельца папки создание внутри её подпапок и файлов. Таким образом администратор сам будет задавать папки с определённой глубиной вложений, где пользователь сможет создавать объекты. Но уж если объект создан, то его владелец, естественно, может делать с этим объектом почти всё, что захочет. Почему „почти”? Потому что не вижу смысла делегировать рядовому пользователю права на смену владельца и разрешений даже для тех объектов, которыми пользователь владеет. Обычный человек в этом всёравно ничего не понимает. Зато мы не получим ситуации с ошибочной потерей контроля над объектами.
Том Данных
Скопировать разрешения с системного тома и добавить к ним следующее.
Репл  {П Пп Ф} ПолнПочти
„\ReCycler\”
Польз {П     } СоздП
Влад  {  Пп  } Созд
Рядовой пользователь может создавать и удалять папки и файлы только внутри своих папок, созданных им здесь.
„\Temp\”
Польз {П     } СоздП
Польз {  Пп Ф} Зап Уд
„%ProgramFiles%\”
Чтобы программа под рядовым пользователем могла создать папки и файлы (например, какие-нибудь ini‑файлы), добавить права:
Польз {  Пп  } Созд
„%Prog%\”
„%ProgComn%\”
„%ProgComnSys%\”
„%ProgBig%\”
„%ProgSpd%\”
Скопировать разрешения с папки „%ProgramFiles%\”. Следует иметь в виду, что программы, не требующие установки, часто не готовы работать, если папка программы доступна только по чтению. Так что могут потребоваться дополнительные разрешения индивидуально для каких‑то программ.
„%Game%\”
Польз {  Пп  } Созд
Польз {     Ф} Зап
Влад  {  Пп Ф} Уд
Вместо этого может быть лучше применить разрешение более доверительное к пользователю и менее чреватое возможными ошибками игровой программы при файловых операциях:
Польз {  Пп Ф} Зап Уд
„%Doc%\”
„%Doc%\ ..\ All Users\”
По идее здесь для рядовых пользователей не надо бы давать права на запись и удаление. Но некоторые программы (например видеоконвертор „Xilisoft”, не требующий установки) пишут сюда свои папки и файлы. То есть они ориентируются не на переменную среды %UserProfile%, как было бы правильно, а на параметр системного реестра:
„\HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\
Shell Folders\ Personal”,
или
„\HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\
User Shell Folders\ Personal”.
По‑умолчанию значения этих параметров „%UserProfile%\ Мои документы”. Но у нас они имеют значения „%Doc%\ <Плз>”.
Пока у меня нет сведений, что папка „%Doc%\ ..\ All Users\” (то есть папка, расположенная относительно папки „%Doc%\ <Плз>\” так же, как и „AllUserProfile%\” относительно „%UserProfile%\ Мои документы\”) используется какой-либо программой. Но так как это не исключено, на всякий случай её лучше создать. А чтобы она не мозолила глаза, сделать её скрытой.
Таким образом для минимизации вероятности файловых ошибок, о которых большинство программ внятно не сообщают, задаём разрешения:
Польз {П Пп  } СоздП
Польз {  Пп  } СоздФ
Польз {     Ф} Зап
„%Doc%\ _ Общ\”
Не наследовать
Sys   {П  Пп  Ф} Полн
Админ {П  Пп  Ф} ПолнПочти
Репл  {П  Пп  Ф} ПолнПочти
Польз {П  Пп  Ф} ЧтенВ
Польз {П  Пп   } Созд -СоздФ = СоздП
Польз {  +Пп } Зап -СоздП -ЗапА = СоздФ
Влад  {   Пп   } ЗапА Уд
Влад  {       Ф} Зап  Уд
„%Doc%\ <Плз>\”
Видно всем
Не наследовать
Sys   {П Пп Ф} Полн
Админ {П Пп Ф} ПолнПочти
Репл  {П Пп Ф} ПолнПочти
Польз {П Пп Ф} ЧтенВ
<Плз> {П Пп Ф} Созд
<Плз> {  Пп Ф} ЗапА Уд
Видно администратору только
Не наследовать
Sys   {П Пп Ф} Полн
Админ {П Пп Ф} ПолнПочти
Репл  {П Пп Ф} ПолнПочти
<Плз> {П Пп Ф} ЧтенВ Созд
<Плз> {  Пп Ф} ЗапА Уд
„\ _Обмен~Домашний\”
Польз {П Пп Ф} Созд
Польз {  Пп Ф} ЗапА Уд