Přidat článek mezi oblíbenéZasílat nové komentáře e-mailem Windows - oprávnění a vlastnictví objektů

V poradně se objevuje mnoho dotazů na nastavení oprávnění složek, souborů, registrů. To vše jsou z pohledu operačního systému tzv. objekty. Co s tím?

Základní termíny

objekt
cokoliv, co můžeme použít při nastavení oprávnění - uživatel, počítač, skupina, složka, soubor, větev registru...

oprávnění
určuje, co může jeden objekt s jiným objektem dělat. Např. jaká práva má uživatel při přístupu ke složce nebo souboru

dědičnost
výchozí nastavení oprávnění ve světě Windows je takové, že objekty dědí oprávnění od nadřízeného objektu. Jako příklad si představme vytvoření nové složky na disku nebo v jiné složce, případně zkopírování souboru (ne přesun!) do složky. V takovém případě objekt sdělí oprávnění.
pro rozdíl mezi přesunem a kopírováním objektu doporučuji tento krátký článek:
http://pc.poradna.net/a/view/639418-manipulace-se- soubory-na-souborovem-systemu-s-pristupovymi-pravy

vlastník (owner)
vlastník je neomezený vládce objektu. Má možnost měnit jeho oprávnění a to i v přístupu, kdy žádná práva k objektu nemá přidělena

práva při sdílení vs lokální práva
při sdílení složky nebo jiného objektu do sítě nastavujeme další oprávnění - oprávnění pro sdílení. Vlastní přístup k souboru ze sítě je pak tvořen průnikem oprávnění lokálních a oprávnění pro sdílení. Zní to složitě, ale je to jednoduché - omezí to nižší z obou oprávnění.

Příklady:
1. Máme složku, kte které mám lokálně plný přístup a ta složka je nasdílena do sítě jen pro čtení. Ze sítě tedy budu mít složku jen pro čtení
2. Mám složku, ke které mám lokálně přístup jen pro čtení a sdílení je nastaveno pro čtení/zápis. Ze sítě budu mít složku jen pro čtení

Sdílením do sítě se v tomto článku zabývat nebudeme.

Nastavení oprávnění ve Windows

K nastavení oprávnění se dostaneme kliknutím pravým tlačítkem myši na objekt (složku, soubor, klíč v registru) a položka Vlastnosti nebo přímo oprávnění na větvi v registru.
S nastavováním práv k objektům je to stejně jako s jakýmkoliv nastavováním v systému. Musím vědět, co dělám, jinak může být výsledkem nefunkční operační systém.
V článku popíšu pouze základy. Systém nastavení oprávnění k objektům má mnohem víc možností jako kombinace přidělení a odepření oprávnění nebo speciální oprávnění na objekty, ale tyto metody se v domácích podmínkách podmínkách nepoužívají.

Omezení přístupu jiným uživatelům

Mám složku, do které chci mít přístup pouze já. Nechci, aby do ní mohli ostatní uživatelé.
1. Změna vlastnictví složky, pokud již nejsem vlastník (složku jsem nevytvořil). Pro nastavování práv stačí, pokud na objektu mám oprávnění pro plný přístup. Ale převzetí vlastnictví mi zaručí, že budu schopný práva nastavit i v okamžiku, kdy práva nemám.
2. Zrušení dědičnosti - tohle musíme udělat, pokud chceme pro složku nastavit jiná práva než jsou zděděná od nadřízeného objektu. Jako odpověď na dotaz, co se má stát při změně oprávnění odpovíme, že chceme oprávnění zkopírovat. To zajistí, že se najednou neocitneme úplně bez oprávnění.

23763-jf03bm-000904-png
23764-jf03bm-000908-png
23765-jf03bm-000909-png
23766-jf03bm-000905-png

3. Nastavení oprávnění
Musíme přidat uživatele, který má mít přístup ke složce. To provedeme tlačítkem [Přidat].
23767-jf03bm-000911-png

Následně pak odebereme všechny uživatele a skupiny, které nechceme, aby měli přístup. Skupinu SYSTEM ponecháme, ta se používá pro zálohování, indexování souborů apod. - zajišťuje přístup k objektu operačnímu systému. Výsledek pak vypadá jako na následujícím obrázku. Nesmíme zapomenout nastavit si práva k objektu.

23768-jf03bm-000912-png

Náš předchozí příklad můžeme ještě rozšířit tak, že uživatel JanFiala bude mít plný přístup (předchozí obrázek), ale přidáme přístup všem ostatním uživatelům jen pro čtení. Může to být třeba složka s rodinnými fotkami, kterou spravujete a nechcete, aby tam jiný člen rodiny náhodou nějaké fotky vymazal. Pak může výsledné nastavení práv vypadat nějak takto:

23769-jf03bm-000915-png

Získání přístupů

Používáme v případě, kdy máme objekt, kdy nám systém odmítne přístup - například nějaký program nastaví omezená práva na větev v registrech nebo složku.
Předpokladem je, že jsem správcem v počítači nebo vlastníkem objektu. Pokud nejsem vlastníkem, musím nejprve vlastnictví získat a to můžu jen v případě, že jsem správce (administrátor).

Budeme postupovat úplně stejně jako v předchozím případě:
1. Změna vlastnictví složky (pokud již nejsem vlastník)
2. Přidat uživatele a nastavit oprávnění

V té chvíli již pak mám přístup k objektu a můžu jej měnit.

Poznámky na závěr

Pokud chcete omezovat oprávnění na složkách nebo souborech, je třeba zajistit, aby nebyli všichni uživatelé správci počítače. Jak vidíte, správce si může kdykoliv přístup k objektu zjednat a spoléhat na to, že uživatel není tak zkušený, aby to zvládnul nebude tou správnou metodou, jak zabezpečení zajistit.

Komentář k článku

1 Zadajte svou přezdívku:
2 Napište svůj komentář:
3 Pokud chcete dostat ban, zadejte libovolný text:

Zpět na články