Разрешение NTFS
NTFS —
new technology file system (
файловая система новой
технологии).
ВикиПед.
Папки с установленными разрешениями NTFS помечаем файлом
▷' Permis.txt◁.
Ниже используются идентификаторы наборов разрешений NTFS. Эти наборы разрешений и их идентификаторы определены
на странице „Наборы разрешений. Определение идентификаторов.” (см. ссылку выше).
„\” (Корневая папка)
По‑умолчанию операционная система задаёт следующие NTFS-разрешения.
Sys {П Пп Ф} Полн
Админ {П Пп Ф} Полн
Все {П } ЧтенВ
Польз {П Пп Ф} ЧтенВ
Польз {П Пп } СоздП
Польз { Пп } СоздФ
Влад { Пп Ф} Полн
При таких правах рядовой пользователь может создавать объекты, где ему угодно (только файлы не сможет создавать в
корневой папке). Если мы рассчитываем сами определять места активности рядовых пользователей, то надо ужесточить
разрешения (см. ниже).
Том Системный („%SystemDrive%\”)
Sys { П Пп Ф} Полн
Админ { П Пп Ф} Полн –УдПпФ = ПолнПочти
Все { П } ЧтенВ
Польз { П Пп Ф} ЧтенВ
Польз {–П Пп } СоздП
Польз { Пп } СоздФ
Влад { Пп –Ф} Полн –ЧтенВ –Созд –УдПпФ –Смен
= ЗапА Уд
+ Влад { Ф} Зап Уд
Здесь мы убрали право создавать папки в корневой папке. Важно также то, что мы убрали из прав владельца папки
создание внутри её подпапок и файлов. Таким образом администратор сам будет задавать папки с определённой глубиной
вложений, где пользователь сможет создавать объекты. Но уж если объект создан, то его владелец, естественно, может
делать с этим объектом почти всё, что захочет. Почему „почти”? Потому что не вижу смысла делегировать рядовому
пользователю права на смену владельца и разрешений даже для тех объектов, которыми пользователь владеет. Обычный человек
в этом всёравно ничего не понимает. Зато мы не получим ситуации с ошибочной потерей контроля над объектами.
Том Данных
Скопировать разрешения с системного тома и добавить к ним следующее.
„\ReCycler\”
Польз {П } СоздП
Влад { Пп } Созд
Рядовой пользователь может создавать и удалять папки и файлы только внутри своих папок, созданных им
здесь.
„\Temp\”
Польз {П } СоздП
Польз { Пп Ф} Зап Уд
„%ProgramFiles%\”
Чтобы программа под рядовым пользователем могла создать папки и файлы (например, какие-нибудь ini‑файлы),
добавить права:
„%Prog%\”
„%ProgComn%\”
„%ProgComnSys%\”
„%ProgBig%\”
„%ProgSpd%\”
Скопировать разрешения с папки „%ProgramFiles%\”. Следует иметь в виду, что программы, не
требующие установки, часто не готовы работать, если папка программы доступна только по чтению. Так что могут
потребоваться дополнительные разрешения индивидуально для каких‑то программ.
„%Game%\”
Польз { Пп } Созд
Польз { Ф} Зап
Влад { Пп Ф} Уд
Вместо этого может быть лучше применить разрешение более доверительное к пользователю и менее чреватое возможными
ошибками игровой программы при файловых операциях:
„%Doc%\”
„%Doc%\ ..\ All Users\”
По идее здесь для рядовых пользователей не надо бы давать права на запись и удаление. Но некоторые программы (например
видеоконвертор „Xilisoft”, не требующий установки) пишут сюда свои папки и файлы. То есть они ориентируются не на
переменную среды %UserProfile%, как было бы правильно, а на параметр системного
реестра:
„\HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\
Shell Folders\ Personal”,
или
„\HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\
User Shell Folders\ Personal”.
По‑умолчанию значения этих параметров „%UserProfile%\ Мои документы”. Но у нас они имеют
значения „%Doc%\ <Плз>”.
Пока у меня нет сведений, что папка „%Doc%\ ..\ All Users\” (то есть папка,
расположенная относительно папки „%Doc%\ <Плз>\” так же, как и „AllUserProfile%\” относительно „%UserProfile%\ Мои документы\”) используется
какой-либо программой. Но так как это не исключено, на всякий случай её лучше создать. А чтобы она не мозолила глаза,
сделать её скрытой.
Таким образом для минимизации вероятности файловых ошибок, о которых большинство программ внятно не сообщают, задаём
разрешения:
Польз {П Пп } СоздП
Польз { Пп } СоздФ
Польз { Ф} Зап
„%Doc%\ _ Общ\”
Не наследовать
Sys {П Пп Ф} Полн
Админ {П Пп Ф} ПолнПочти
Репл {П Пп Ф} ПолнПочти
Польз {П Пп Ф} ЧтенВ
Польз {П Пп } Созд -СоздФ = СоздП
Польз { +Пп -Ф} Зап -СоздП
-ЗапА = СоздФ
Влад { Пп } ЗапА Уд
Влад { Ф} Зап Уд
„%Doc%\ <Плз>\”
Видно всем
Не наследовать
Sys {П Пп Ф} Полн
Админ {П Пп Ф} ПолнПочти
Репл {П Пп Ф} ПолнПочти
Польз {П Пп Ф} ЧтенВ
<Плз> {П Пп Ф} Созд
<Плз> { Пп Ф} ЗапА Уд
Видно администратору только
Не наследовать
Sys {П Пп Ф} Полн
Админ {П Пп Ф} ПолнПочти
Репл {П Пп Ф} ПолнПочти
<Плз> {П Пп Ф} ЧтенВ Созд
<Плз> { Пп Ф} ЗапА Уд
„\ _Обмен~Домашний\”
Польз {П Пп Ф} Созд
Польз { Пп Ф} ЗапА Уд