Pozn.: Tento popis se primárně týká Windows XP Professional s přihlédnutím k zařazení do domény.
Uživatelé a skupiny
První co potřebujeme je někdo, komu budeme dané oprávnění nastavovat. Vždy můžeme použít lokální uživatele nebo skupiny. Pokud je systém zařazen do domény, tak přibývají také doménoví uživatelé a skupiny.
Lokální uživatele a skupiny spravujeme pomocí (pravé tlačítko na My Computer - Manage - ) Computer Management - System Tools - Local Users and Groups.
Pozn.: Na doménovém řadiči neexistují lokální uživatelé a skupiny.
Lokální uživatelé
Uživatelské účty slouží k řízení přístupu osob k počítači. Po instalaci Windows existují dva zabudované lokální účty - Administrator a Guest.
Administrator je účet pro správu počítače, který umožňuje po instalaci vytvořit další uživatele. Je zařazen do skupiny Administrators. Standardně je to účet, který musí vždy existovat, abychom nepřišli o možnost přístupu k počítači. Z bezpečnostních důvodů je vždy třeba nastavit pro tento účet bezpečné heslo a vhodným řešením je jej přejmenovat.
Guest je účet pro přístup hostů k počítači. Ve výchozím stavu je vypnutý a většinou není důvod jej používat.
Dále můžeme vytvořit účty pro jednotlivé uživatele počítače. Pokud je počítač v doméně, tak by lokální účty neměly být potřeba.
Lokální skupiny
Skupiny sdružují uživatele stejných vlastností. Pokud chceme nastavovat disková oprávnění více uživatelům shodně, je vhodné vytvořit pro ně skupinu. Existuje několik zabudovaných skupin, které mají přiřazeny speciální vlastnosti a oprávnění. Jsou to hlavně Administrators, Power Users, Users a Guests, ale i další.
Pokud je stanice v doméně, můžeme do lokální skupiny zařazovat i doménové uživatele.
Vestavěné systémové skupiny (built-in security principals)
Poslední skupinou, kterou můžeme použít při nastavování oprávnění, jsou vestavěné systémové skupiny. Tyto skupiny nemůžeme nijak upravovat, existují automaticky a uživatelé se do nich zařazují podle daných pravidel. Důležité skupiny jsou
- Everyone- úplně všichni uživatelé připojení k počítači (bezpečnější je příliš nepoužívat)
- Authenticated Users - ověření uživatelé (účet na tomto počítači nebo v doméně)
- Creator Owner - obsahuje uživatele, který vytvořil daný zdroj nebo převzal jeho vlastnictví
- Network - uživatelé přistupující ze sítě
- Interactive - lokální uživatelé
- System - služby se systémovými právy, obdobné, ale s menšími oprávněními jsou skupiny Local Service a Network Service
Typy oprávnění
Základní oprávnění jsou
- Full Control - prohlížení, spuštění, úpravy, mazání a nastavení oprávnění
- Modify - prohlížení, spuštění, úpravy a mazání
- Read & Execute - prohlížení a spuštění
- List Folder Content - zobrazení obsahu adresáře, pouze pro adresáře
- Read - prohlížení
- Write - prohlížení, spuštění, úpravy a mazání
Výše uvedená oprávnění jsou vlastně skupiny práv. Následující tabulka zobrazuje skutečná práva, a jak jsou zahrnuta v daných skupinách.
| Special Permissions | Full Control | Modify | Read & Execute | List Folder Contents | Read | Write |
|---|---|---|---|---|---|---|
| Traverse Folder/Execute File | x | x | x | x | ||
| List Folder/Read Data | x | x | x | x | x | |
| Read Attributes | x | x | x | x | x | |
| Read Extended Attributes | x | x | x | x | x | |
| Create Files/Write Data | x | x | x | |||
| Create Folders/Append Data | x | x | x | |||
| Write Attributes | x | x | x | |||
| Write Extended Attributes | x | x | x | |||
| Delete Subfolders and Files | x | |||||
| Delete | x | x | ||||
| Read Permissions | x | x | x | x | x | x |
| Change Permissions | x | |||||
| Take Ownership | x | |||||
| Synchronize | x | x | x | x | x | x |
Nastavení oprávnění
Oprávnění na souboru/složce může být přímo nastavené (explicitní) nebo zděděné. Zděděné oprávnění není možno smazat (upravit). Pokud chceme zdědění oprávnění změnit, musíme zrušit dědění a provést změny. Pokud nastavujeme oprávnění na složku, tak se standardně dědí na nižší úrovně.
Práva můžeme nastavovat pomocí hodnoty povolit (allow) a odepřít (deny). Odepření má vždy větší váhu než povolení.
Základní nastavení oprávnění
- klikneme pravým tlačítkem na složku/soubor
- zvolíme Properties a vybereme záložku Security
- klikneme na Add a vybereme, komu chceme oprávnění nastavit (pokud jsme v doméně, tak pomocí Locations vybíráme mezi lokálními a doménovými účty)
- po kliknutí na OK se vloží účet a nastaví se mu oprávnění pro čtení
- ve spodní části okna vybereme požadovaná oprávnění a potvrdíme OK
Rozšířené nastavení oprávnění
- klikneme pravým tlačítkem na složku/soubor
- zvolíme Properties a vybereme záložku Security
- klikneme na Advanced
- klikneme na Add a vybereme, komu chceme oprávnění nastavit
- po kliknutí na OK se dostaneme na podrobné nastavení práv, pokud se jedná o složku, tak volíme, kam se mají práva aplikovat (pouze tato složka, i podsložky, apod)
- potvrdíme dvakrát OK a je nastaveno
Zrušení dědění práv
- klikneme pravým tlačítkem na složku/soubor
- zvolíme Properties a vybereme záložku Security
- klikneme na Advanced
- odškrtneme položku (v dolní části okna) Inherit from parent the permission entries .
- objeví se okno, kde můžeme zvolit, zda chceme zkopírovat aktuální oprávnění (Copy), odstranit oprávnění (Remove) nebo se vrátit zpět (Cancel)
- potvrdíme dvakrát OK a je nastaveno
Přepsání práv na vnořených objektech
- klikneme pravým tlačítkem na složku/soubor
- zvolíme Properties a vybereme záložku Security
- klikneme na Advanced
- zaškrtneme položku Replace permission entries on all child objects .
- následuje dotaz, zda opravdu chceme odstranit aktuální oprávnění na vnořených objektech a přepsat je těmito
- odsouhlasíme Yes a dáme OK
Vlastník souboru/složky
- klikneme pravým tlačítkem na složku/soubor
- zvolíme Properties a vybereme záložku Security
- klikneme na Advanced
- přepneme se na záložku Owner
- zde vidíme aktuálního vlastníka a můžeme jej přepsat svým účtem nebo skupinou (pokud máme práva)
- v oblasti Change owner to vybereme nového vlastníka
- zaškrtneme Replace owner . a dáme OK
- potvrdíme OK
Odkazy
Podrobnější informace naleznete například na těchto stránkách:
- Jak nastavit, zobrazit, změnit nebo odebrat oprávnění u souborů a složek v systému Windows XP
- Jak nastavit, zobrazit, změnit nebo odebrat zvláštní oprávnění u souborů a složek v systému Windows XP
- Security and administration - v levém menu Security and administration - Access Control
Komentáře
Super, Potřeboval bych neco vedet o Domenovych uzivatelich.,.
mam taky dotaz...
co ak pri:
Základní nastavení oprávnění
* klikneme pravým tlačítkem na složku/soubor
* zvolíme Properties a vybereme záložku Security
proste záložku Security nemám?? mám XP SP2 professional
dik za odpoved
odpověď na [2]kamil: Pokud nevidíš záložku Security, tak to znamená, že máš zapnuté Simple file sharing. Návod, jak vypnout, je v mém článku www.samuraj-cz.com/clanek/spravne-nastaveni-sdileni-adresare-ve-windows/.
odpověď na [3]Samuraj: dikes samuraj:) k tomu článku som sa ešte nedostal tak som to nevedel:) dik
Nevim jak nastavit, aby druhy pocitac v siti pouze cetl a spoustel mp3, nikoliv si je odebiral/kopiroval. Jak se to ma nastavit?
odpověď na [5]brooklyn: Je možné zabránit mazání. Ale pokud má být možné přehrát soubor, tak to znamená, že se zkopíruje a tím pádem si ho člověk u sebe může uložit.
Prosím o pomoc. V notebooku mám účet s názvem včetně diakritiky řekněme: Přemysl. Heslo neznám - bohužel. Takže použití programů jako Trinity a nebo Ophcrack mi nepomůže kvůli diakritice v názvu účtu. Když zkusím HDD připojit k jinému počítači nedostanu se ke svým datům, protože vlastnictví převzít jsem zkusil - to funguje, ale jen u jednotlivých souborů myslím, že bych se asi zbláznil tohle dělat u 120GB fotek. Není nějaký způsob jak převzít vlastnictví řekněme u složek včetně souborů a podsložek ?
a co takhle vyzkoušet knoppix linux?? nebo třeba mandriva linux 2010 one?? Oni ty live-linuxy dělají zázraky, nejen, že josu v čejině ale ke všemu sou na nich i záchranné a diagnostické a systémové programy, který ti dokážou na oddíly NTFS a jiný (jako HPFS, JFX, XFS, REISER-FS...) i zapisovat a nejenom číst.
odpověď na [5]brooklyn: nastavit se to dá jedině v editoru systémové politiky a krom toho budeš potřebovat administrátorský kit! Páč jenom ten má potřebnou serverovou část, která umožňuje spouštět bez možnosti kopčení. Jinak je to docela humáč tohle nastavovat - to už musíš mít opravdu hluboký síťový znalosti!
Páni, nevie niekto poradiť? Mám adresár aj s podriadenou štruktúrou podadresárov do hlbky 4 úrovní. Mám v nich nastavenia oprávnení pre rôznych userov.Odškrtolsom položku Inherit from parent the permission entrieszaškrtneme a zapol položku Replace permission entries on all child objects.Všetko OK. Ale ja potrebujem ceý tento adresár zkopírovať ešte keď je prázdny pod iným menom so všetkými nastavenými oprávneniami. Ak to urobím,tak zdedí pôvodné oprávnenie nadradeného adresára a ja musím prácne nastavovať všetko odznova./Windows server 2008/
odpověď na [10]FilipS: Je potřeba používat nějaké kopírování i s oprávněním. To umí například Total Commander (kopírovat NTFS oprávnění). Jde to i prostředky MS, tuším, že xcopy.
odpověď na [11]Samuraj: Ďakujem za pomoc, ide to s total comanderom. Ani som netušil že to funguje a používam ho už veľmi dlho.No však som to nepotreboval.Ešte raz dík!!!
no nechapu to
když chci přidat uživatele který bude mít oprávnění přístupu ke složce - > v nastaveni soubor - zabezpečení - přidat - umístění, nelze vybrat umístění pc které hledám, zobrazuje se jen nazev mého lokalního pc a ne toho které chci přidat ze sítě co s tim? :(
odpověď na [14]lama2011: V rámci Workgroup je možno provádět autentizaci pouze vůči lokálním účtům (z daného PC). Jestli se nepletu, tak pokud má účet na jiném PC stejné jméno a heslo, tak pak funguje jeho využití.
Nevíte někdo jak zastavit AVP = Kaspersky Anti-virus Service a nebo jak nastavit oprávnění abych ho mohl zastavit? (win7) Tady ten návod je mi k ničemu, nepustí mě tam. Už to hledám několik dnů a nemohu nic vygooglit :o((((
prosím rady na tawd@email.cz
Mám dotaz. Možná jsem slepý, ale nenašel jsem to tady v článku. Chci zkopírovat dva soubory do složky a tam jimi nahradit staré, napíše to: obraťte se na Everyone, aby vám udělila příslušná oprávnění.
Dodatek: Jsem na notebooku na Administrátorském účtu
potíže s doménou (win server 2003), mám uživatele u kterého potřebuji nastavit práva pro prohlížení, spuštění, úpravy a mazání, uživatele přidám (respektive skupinu) nastavím u ní práva ale pokud se přihlásím přístup mi je odepřen pro kopírování, zrušil jsem už i dědění ale stále nic. Nevíte někdo ?
Good site! Now contact these people and watch your rankings grow!
laptop locks http://store.legalnursenetwork.com/
Doufám, že tento list je ještě aktivní.....Javascript:InsertAtPosition(document.ins_comment.text,'
');
JAK TOTO FUNGUJE VE win10, KDE BOX "UPŘESNIT NASTAVENI ZABEZPEČENÍ..." NEOBSAHUJE KARTU "VLASTNÍK"???
STAČÍ PŘEPSAT V KARTĚ "OPRÁVNĚNÍ"???
díkodpověď na [18]Radek:
dodatek k odpověď na [21]VENA: ... to pochopitelně není odpověď k odpověď na [18]Radek: , kam jsem to omylem připnul !!!!
prosím, kdo zná odpověď na dotaz k W10, nechť ji napíše.
dík
Ahoj, dokáže mě někdo poradit jestli lze nastavit pod Win 2000 serverem následující kombinaci ? (předem děkuji ...)
\\Neco\Adam \\Neco\Tonda - uživatelé mají zděděnou vlastnost že NESMÍ mazat/přejmenovat Tondu/Adam, ale mohou se tam klidně dostat a procházet. Já bych ale chtěl aby mohli ve složce \\Neco\test.txt soubor text klidně smazat/přepsat. I když dám na konkrétním souboru plná práva stejně to nefunguje, dokud jim nedám možnost Mazat/přejmenovat i složky v tom adresáři....
Moc děkuji za info jestli to jde ...
odpověď na [23]kyssling: Náhlé osvícení ... Oprávnění v nadřazené složce : "Jen soubory" ...
Dobry den,
nevite prosim někdo, zda ma Windows moznost nastavovat alespoň zakladni opravneni prikazovou radkou?
odpověď na [25]ALOFOG: Práva na soubory a složky lze nastavovat příkazem icacls.
Ahoj,
super článek. Když zkopíruju podadresář, do adresáře, zdědí práva nadřazaného adresáře (původní práva zaniknou).Když udělám to samé jen když podadresář místo kopírování vyjmu (Ctrl+X) zdědí se práva z nadřazeného adresáře + se zachovají práva z původního. To je asi nežádoucí stav ne? Nebo je to správně?
Díky
Ahoj,
existuje nějaká syntaxe v CMD pro přidělení oprávnění v zabezpečení složky konkrétním uživatelem? Ne sdílení - sdílená je nadřazená složka pro celou skupinu.
Mám 50 uživatelů a každý má svůj podADR dle jména, potřebuji hromadně každýmu znich přidělit jeden adr, jde to skrze příkaz ?
Dík
Poměrně často brouzdám na tyto stránky, články i když nejsou už často aktuální jsou poučné a popošťouchnou k správnému řešení...
Škoda u tohoto článku že zde není i sekce nazvaná "zamyšlení nad právy" jakože rád bych věděl jak nastavit oprávnění na složky a podslošky na file serveru u korporátu, tak aby bylo tohle rozvržení dlouhodobě udržitelné. U nás na firmě je v tom hrozný nepořádek a jen se to zhoršuje, protože uživatelé chodí s šílenými požadavky na zpřístupnění různých podsložek, ale složka o úroveň víc má oprávnění pro vyšší managment atd.
Poměrně často brouzdám na tyto stránky, články i když nejsou už často aktuální jsou poučné a popošťouchnou k správnému řešení...
Škoda u tohoto článku že zde není i sekce nazvaná "zamyšlení nad právy" jakože rád bych věděl jak nastavit oprávnění na složky a podslošky na file serveru u korporátu, tak aby bylo tohle rozvržení dlouhodobě udržitelné. U nás na firmě je v tom hrozný nepořádek a jen se to zhoršuje, protože uživatelé chodí s šílenými požadavky na zpřístupnění různých podsložek, ale složka o úroveň víc má oprávnění pro vyšší managment atd.