Windows - oprávnění a vlastnictví objektů
V poradně se objevuje mnoho dotazů na nastavení oprávnění složek, souborů, registrů. To vše jsou z pohledu operačního systému tzv. objekty. Co s tím?
Základní termíny
objekt
cokoliv, co můžeme použít při nastavení oprávnění - uživatel, počítač, skupina, složka, soubor, větev registru...
oprávnění
určuje, co může jeden objekt s jiným objektem dělat. Např. jaká práva má uživatel při přístupu ke složce nebo souboru
dědičnost
výchozí nastavení oprávnění ve světě Windows je takové, že objekty dědí oprávnění od nadřízeného objektu. Jako příklad si představme vytvoření nové složky na disku nebo v jiné složce, případně zkopírování souboru (ne přesun!) do složky. V takovém případě objekt sdělí oprávnění.
pro rozdíl mezi přesunem a kopírováním objektu doporučuji tento krátký článek:
http://pc.poradna.net/a/view/639418-manipulace-se- soubory-na-souborovem-systemu-s-pristupovymi-pravy
vlastník (owner)
vlastník je neomezený vládce objektu. Má možnost měnit jeho oprávnění a to i v přístupu, kdy žádná práva k objektu nemá přidělena
práva při sdílení vs lokální práva
při sdílení složky nebo jiného objektu do sítě nastavujeme další oprávnění - oprávnění pro sdílení. Vlastní přístup k souboru ze sítě je pak tvořen průnikem oprávnění lokálních a oprávnění pro sdílení. Zní to složitě, ale je to jednoduché - omezí to nižší z obou oprávnění.
Příklady:
1. Máme složku, kte které mám lokálně plný přístup a ta složka je nasdílena do sítě jen pro čtení. Ze sítě tedy budu mít složku jen pro čtení
2. Mám složku, ke které mám lokálně přístup jen pro čtení a sdílení je nastaveno pro čtení/zápis. Ze sítě budu mít složku jen pro čtení
Sdílením do sítě se v tomto článku zabývat nebudeme.
Nastavení oprávnění ve Windows
K nastavení oprávnění se dostaneme kliknutím pravým tlačítkem myši na objekt (složku, soubor, klíč v registru) a položka Vlastnosti nebo přímo oprávnění na větvi v registru.
S nastavováním práv k objektům je to stejně jako s jakýmkoliv nastavováním v systému. Musím vědět, co dělám, jinak může být výsledkem nefunkční operační systém.
V článku popíšu pouze základy. Systém nastavení oprávnění k objektům má mnohem víc možností jako kombinace přidělení a odepření oprávnění nebo speciální oprávnění na objekty, ale tyto metody se v domácích podmínkách podmínkách nepoužívají.
Omezení přístupu jiným uživatelům
Mám složku, do které chci mít přístup pouze já. Nechci, aby do ní mohli ostatní uživatelé.
1. Změna vlastnictví složky, pokud již nejsem vlastník (složku jsem nevytvořil). Pro nastavování práv stačí, pokud na objektu mám oprávnění pro plný přístup. Ale převzetí vlastnictví mi zaručí, že budu schopný práva nastavit i v okamžiku, kdy práva nemám.
2. Zrušení dědičnosti - tohle musíme udělat, pokud chceme pro složku nastavit jiná práva než jsou zděděná od nadřízeného objektu. Jako odpověď na dotaz, co se má stát při změně oprávnění odpovíme, že chceme oprávnění zkopírovat. To zajistí, že se najednou neocitneme úplně bez oprávnění.
3. Nastavení oprávnění
Musíme přidat uživatele, který má mít přístup ke složce. To provedeme tlačítkem [Přidat].
Následně pak odebereme všechny uživatele a skupiny, které nechceme, aby měli přístup. Skupinu SYSTEM ponecháme, ta se používá pro zálohování, indexování souborů apod. - zajišťuje přístup k objektu operačnímu systému. Výsledek pak vypadá jako na následujícím obrázku. Nesmíme zapomenout nastavit si práva k objektu.
Náš předchozí příklad můžeme ještě rozšířit tak, že uživatel JanFiala bude mít plný přístup (předchozí obrázek), ale přidáme přístup všem ostatním uživatelům jen pro čtení. Může to být třeba složka s rodinnými fotkami, kterou spravujete a nechcete, aby tam jiný člen rodiny náhodou nějaké fotky vymazal. Pak může výsledné nastavení práv vypadat nějak takto:
Získání přístupů
Používáme v případě, kdy máme objekt, kdy nám systém odmítne přístup - například nějaký program nastaví omezená práva na větev v registrech nebo složku.
Předpokladem je, že jsem správcem v počítači nebo vlastníkem objektu. Pokud nejsem vlastníkem, musím nejprve vlastnictví získat a to můžu jen v případě, že jsem správce (administrátor).
Budeme postupovat úplně stejně jako v předchozím případě:
1. Změna vlastnictví složky (pokud již nejsem vlastník)
2. Přidat uživatele a nastavit oprávnění
V té chvíli již pak mám přístup k objektu a můžu jej měnit.
Poznámky na závěr
Pokud chcete omezovat oprávnění na složkách nebo souborech, je třeba zajistit, aby nebyli všichni uživatelé správci počítače. Jak vidíte, správce si může kdykoliv přístup k objektu zjednat a spoléhat na to, že uživatel není tak zkušený, aby to zvládnul nebude tou správnou metodou, jak zabezpečení zajistit.