Přidat článek mezi oblíbenéZasílat nové komentáře e-mailem Windows - oprávnění a vlastnictví objektů

V poradně se objevuje mnoho dotazů na nastavení oprávnění složek, souborů, registrů. To vše jsou z pohledu operačního systému tzv. objekty. Co s tím?

Základní termíny

objekt
cokoliv, co můžeme použít při nastavení oprávnění - uživatel, počítač, skupina, složka, soubor, větev registru...

oprávnění
určuje, co může jeden objekt s jiným objektem dělat. Např. jaká práva má uživatel při přístupu ke složce nebo souboru

dědičnost
výchozí nastavení oprávnění ve světě Windows je takové, že objekty dědí oprávnění od nadřízeného objektu. Jako příklad si představme vytvoření nové složky na disku nebo v jiné složce, případně zkopírování souboru (ne přesun!) do složky. V takovém případě objekt sdělí oprávnění.
pro rozdíl mezi přesunem a kopírováním objektu doporučuji tento krátký článek:
http://pc.poradna.net/a/view/639418-manipulace-se- soubory-na-souborovem-systemu-s-pristupovymi-pravy

vlastník (owner)
vlastník je neomezený vládce objektu. Má možnost měnit jeho oprávnění a to i v přístupu, kdy žádná práva k objektu nemá přidělena

práva při sdílení vs lokální práva
při sdílení složky nebo jiného objektu do sítě nastavujeme další oprávnění - oprávnění pro sdílení. Vlastní přístup k souboru ze sítě je pak tvořen průnikem oprávnění lokálních a oprávnění pro sdílení. Zní to složitě, ale je to jednoduché - omezí to nižší z obou oprávnění.

Příklady:
1. Máme složku, kte které mám lokálně plný přístup a ta složka je nasdílena do sítě jen pro čtení. Ze sítě tedy budu mít složku jen pro čtení
2. Mám složku, ke které mám lokálně přístup jen pro čtení a sdílení je nastaveno pro čtení/zápis. Ze sítě budu mít složku jen pro čtení

Sdílením do sítě se v tomto článku zabývat nebudeme.

Nastavení oprávnění ve Windows

K nastavení oprávnění se dostaneme kliknutím pravým tlačítkem myši na objekt (složku, soubor, klíč v registru) a položka Vlastnosti nebo přímo oprávnění na větvi v registru.
S nastavováním práv k objektům je to stejně jako s jakýmkoliv nastavováním v systému. Musím vědět, co dělám, jinak může být výsledkem nefunkční operační systém.
V článku popíšu pouze základy. Systém nastavení oprávnění k objektům má mnohem víc možností jako kombinace přidělení a odepření oprávnění nebo speciální oprávnění na objekty, ale tyto metody se v domácích podmínkách podmínkách nepoužívají.

Omezení přístupu jiným uživatelům

Mám složku, do které chci mít přístup pouze já. Nechci, aby do ní mohli ostatní uživatelé.
1. Změna vlastnictví složky, pokud již nejsem vlastník (složku jsem nevytvořil). Pro nastavování práv stačí, pokud na objektu mám oprávnění pro plný přístup. Ale převzetí vlastnictví mi zaručí, že budu schopný práva nastavit i v okamžiku, kdy práva nemám.
2. Zrušení dědičnosti - tohle musíme udělat, pokud chceme pro složku nastavit jiná práva než jsou zděděná od nadřízeného objektu. Jako odpověď na dotaz, co se má stát při změně oprávnění odpovíme, že chceme oprávnění zkopírovat. To zajistí, že se najednou neocitneme úplně bez oprávnění.

[23763-jf03bm-000904-png]
[23764-jf03bm-000908-png]
[23765-jf03bm-000909-png]
[23766-jf03bm-000905-png]

3. Nastavení oprávnění
Musíme přidat uživatele, který má mít přístup ke složce. To provedeme tlačítkem [Přidat].
[23767-jf03bm-000911-png]

Následně pak odebereme všechny uživatele a skupiny, které nechceme, aby měli přístup. Skupinu SYSTEM ponecháme, ta se používá pro zálohování, indexování souborů apod. - zajišťuje přístup k objektu operačnímu systému. Výsledek pak vypadá jako na následujícím obrázku. Nesmíme zapomenout nastavit si práva k objektu.

[23768-jf03bm-000912-png]

Náš předchozí příklad můžeme ještě rozšířit tak, že uživatel JanFiala bude mít plný přístup (předchozí obrázek), ale přidáme přístup všem ostatním uživatelům jen pro čtení. Může to být třeba složka s rodinnými fotkami, kterou spravujete a nechcete, aby tam jiný člen rodiny náhodou nějaké fotky vymazal. Pak může výsledné nastavení práv vypadat nějak takto:

[23769-jf03bm-000915-png]

Získání přístupů

Používáme v případě, kdy máme objekt, kdy nám systém odmítne přístup - například nějaký program nastaví omezená práva na větev v registrech nebo složku.
Předpokladem je, že jsem správcem v počítači nebo vlastníkem objektu. Pokud nejsem vlastníkem, musím nejprve vlastnictví získat a to můžu jen v případě, že jsem správce (administrátor).

Budeme postupovat úplně stejně jako v předchozím případě:
1. Změna vlastnictví složky (pokud již nejsem vlastník)
2. Přidat uživatele a nastavit oprávnění

V té chvíli již pak mám přístup k objektu a můžu jej měnit.

Poznámky na závěr

Pokud chcete omezovat oprávnění na složkách nebo souborech, je třeba zajistit, aby nebyli všichni uživatelé správci počítače. Jak vidíte, správce si může kdykoliv přístup k objektu zjednat a spoléhat na to, že uživatel není tak zkušený, aby to zvládnul nebude tou správnou metodou, jak zabezpečení zajistit.

Předmět Autor Datum
Sakra škoda, že jsi to nenapsal tak před 2 lety. Já kdysi zašifroval 3 složky, a přeinstaloval Win a…
jezekhifi 28.09.2015 16:44
jezekhifi
Bez privátního klíče, který sis měl zazálohovat, jsi bez šance. Tak možná v nějaké té Kriminálce <ně…
Dale Cooper 28.09.2015 16:49
Dale Cooper
Případně, pokud byl počítač v doméně, tak je šance přes doménového admina. Teď jsem to psal v souvis…
Jan Fiala 28.09.2015 17:24
Jan Fiala
je rozdíl nastavit jiná přístupová práva (to je snadno řešitelné podle článku) a šifrovat něco. u za…
lední brtník 28.09.2015 18:25
lední brtník
teď se zrovna dívám na jedno mezi uživateli oblíbené vídejko "jak zrušit automatické zarovnání ikon"…
lední brtník 28.09.2015 20:43
lední brtník
Zabezpečení v registru je snad už od Windows NT, takže i WinXP a je to stejné i na Win10. Vlastníka…
Jan Fiala 28.09.2015 20:59
Jan Fiala
ano, zabezpečení je už od NT, tam se na to ale používa dva různé editory. Klasický "regedit" (původn… poslední
touchwood 01.10.2015 10:18
touchwood

teď se zrovna dívám na jedno mezi uživateli oblíbené vídejko "jak zrušit automatické zarovnání ikon".
jde o stejnou změnu práv (v registrech jako na disku) - jen ti youtubouni místo změny oprávnění k adresáři/klíči registru (+ omezení system na čtení) rovnou mění vlastníka klíče, takový zvyk se jim může u víceuživatelských pc brzy vymstít. samotnou změnu práv pro různé uživatele bez změny vlastníka považuju za cestu "po dobrém".

nevím, jak je tento dialog "zabezpečení/security" dostupný v novějších home verzích windows 8+. já kolem sebe žádné nemám a microsoft má o zabezpečení hodně zvláštní představy.

Zabezpečení v registru je snad už od Windows NT, takže i WinXP a je to stejné i na Win10.
Vlastníka klíče měnit nemusíš, pokud to jde po dobrém, jak píšeš. Ale pokud tam nejsi v uživatelích a nemáš právo si přidělit oprávnění, tak ti nic jiného, než převzít vlastnictví nezbude.

Tady se zase předvedl Eset Smart Security, který v rámci "smart" bezhlavě přepisuje hodnoty :-(

Zpět na články Přidat komentář k článku Nahoru