NTS ACL – Access Control List dzielimy na podstawowe i zaawansowane.
PODSTAWOWE:
Zapis – pozwala na tworzenie plików i folderów, zapis danych do plików oraz ich modyfikacje, a także określanie atrybutów.
Odczyt – pozwala odczytywać dane oraz atrybuty z plików
Odczyt i wykonanie – pozwala wyświetlać zawartość oraz uprawnienia do folderu, odczytywać dane i uprawnienia do pliku, a także uruchamiać programy zapisane w folderze oraz przechodzić przez folder.
Wyświetlenie zawartości folderu – pozwala wyświetlać zawartość oraz uprawnienia, ale tylko w odniesieniu do folderów. W przypadku plików to uprawnienie nie pojawia się na liście uprawnień.
Modyfikacja – pozwala użytkownikowi wykonywać wszystkie możliwe operacje poza usuwaniem plików i podkatalogów, bez możliwości zmiany ich uprawnień i przejmowania na własność.
Pełna kontrola – pozwalana wykonywanie wszystkich operacji na folderze i pliku, łącznie z usuwaniem plików i podkatalogów w danym folderze, włącznie ze zmianą uprawnień i przejęciem własność
ZAAWANSOWANE:
Przechodzenie poprzez folder – pozwala na dostęp do pliku w sytuacji, gdy użytkownik nie posiada uprawnień do katalogu przechowującego ten plik, ale posiada je do samego pliku.
Wykonanie – pozwala na uruchamianie pliku zawierającego kod programu. Prawo to stosuje się jedynie do plików.
Odczyt atrybutów – pozwala na przeglądanie atrybutów pliku lub folderu.
Odczyt atrybutów rozszerzonych – pozwala na przeglądanie rozszerzonych atrybutów pliku bądź folderu. Do rozszerzonych atrybutów należy zaliczyć kompresję i szyfrowanie.
Tworzenie plików/Zapis danych – pozwala na tworzenie plików wewnątrz folderu oraz na dokonywanie zmian w plikach i nadpisywania ich zawartości.
Tworzenie folderów/Dołączanie danych – pozwala na tworzenie podkatalogów wewnątrz folderu, a także na dopisywanie nowych danych do plików.
Zapis atrybutów – pozwala na zmianę atrybutów pliku lub folderu.
Zapis rozszerzonych atrybutów – pozwala na zmianę atrybutów rozszerzonych pliku lub folderu.
Usuwanie podfolderów i plików – pozwala na usuwanie znajdujących się w folderze plików oraz podfolderów.
Usuwanie – to uprawnienie pozwala na usuwanie plików i katalogów.
Odczyt uprawnień – pozwala na odczyt uprawnień zastosowanych do plików lub folderów.
Zmiana uprawnień – pozwala na zmianę uprawnień zastosowanych do plików lub folderów, takich jak: Pełna kontrola, Zapis, Odczyt.
Przejęcie na własność – to uprawnienie pozwala na przejęcie pliku lub folderu na własność.
UWAGA
Właściciel pliku lub folderu (użytkownik, który go utworzył) może zawsze zmienić jego uprawnienia, niezależnie od tego, jakie uprawnienia nadał dla katalogu lub pliku administrator systemu.
Stosując uprawnienia NTFS w systemach Windows, pamiętać należy o trzech zasadach:
1. Uprawnienia NTFS są dziedziczone. To znaczy, że jeśli do katalogu XYZ użytkownik x1 ma uprawnienia tylko do odczytu, to takie same uprawnienia będzie miał do wszystkich zasobów zapisanych w tym katalogu (chyba, że dziedziczenie zostanie wyłączone).
2. Uprawnienia NTFS są kumulowane (sumowane). To znaczy, że jeśli użytkownik x1 należy do grupy gx1, to jego uprawnienia efektywne są sumą uprawnień jego oraz grupy, do której należy.
3. Odmowa uprawnienia jest ważniejsza niż zezwolenie (ma wyższy priorytet). To znaczy, że jeśli użytkownik x1 jest członkiem grupy gx1, której zabroniono dostępu do określonego zasobu, to nie będzie on miał takiego dostępu, nawet jeśli na poziomie jego konta uprawnienia na dostęp zezwalają.
PowerSHELL
Get-Acl C:\Windows
icacls C:\Windows
UPRAWNIENIA SMB – nadawane jest wszystkim użytkownikom w momencie udostępniania katalogu:
Odczyt – pozwala przeglądać foldery, odczytywać pliki i uruchamiać programy zapisane w katalogach.
Zmiana – pozwala użytkownikowi na odczyt danych i możliwość tworzenia plików i katalogów, a także dokonywania zmian w plikach.
Pełna kontrola – pozwala na pełną kontrolę danych, w tym odczyt i zapis.
TWORZYMY KATALOG D:\ProfilesAD$ dla profili mobilnych
1. Disable inheritance, and then select Convert inherited permissions into explicit permission on this object
2. SHARE
Administrators: Full Control
System: Full Control
Authenticated Users: Full Control
3. NTFS
Administrators: Full Control (This folder only)
System: Full Control (This folder, subfolders and files)
Creator Owner: Full Control (Subfolders and files only)
Authenticated Users: (This folder only)
– Read & Execute, List Folder Contents, Read
– List folder / read data (Advanced permissions) Create folders / append data (Advanced permissions)