Введение
В предыдущих статьях вы узнали о системном компоненте «Центр управления сетями и общим доступом», о сетевых клиентах, службах и протоколах, а также научились изменять сетевое расположение в зависимости от использования сетевого профиля и предоставлять общий доступ к файлам и папкам с использованием парольной защиты и без нее. Как в домашних условиях, так и в корпоративной среде, на ваших компьютерах может быть предоставлен общий доступ к десяткам папок. Назначив для каждой папки специфические разрешения, вскоре вы можете запутаться в предоставленных правах для своих папок. Из этой статьи вы научитесь централизовано управлять общими папками на компьютере при помощи оснастки консоли управления Microsoft «Общие папки».
Именно при помощи оснастки «Общие папки», вы можете создавать общие ресурсы, а также устанавливать всевозможные разрешения для таких ресурсов. Помимо этого, вам предоставляется возможность просматривать и отключать открытые файлы и сеансы пользователей, подключенных к вашим общим ресурсам. Также вы можете настраивать доступ к своим папкам в автономном режиме, управлять ограничением числа пользователей, которые могут одновременно получить доступ к вашим ресурсам и многое другое. В этой статье вы узнаете не только об интерфейсе оснастки «Общие папки», но и выполнении аналогичных действий средствами командной строки при помощи команд net share, net files и net session.
Разрешения RBAC в Azure
В следующей таблице содержатся разрешения Azure RBAC, связанные с этой конфигурацией.
Встроенные роли | Разрешения NTFS | Итоговый доступ |
---|---|---|
Читатель общей папки файловых данных хранилища SMB | Полный доступ, Изменение, Чтение, Запись, Выполнение | Чтение и выполнение |
Чтение | Чтение | |
Участник общей папки файловых данных хранилища SMB | Полный доступ | Изменение, Чтение, Запись, Выполнение |
Изменить | Изменить | |
Чтение и выполнение | Чтение и выполнение | |
Чтение | Чтение | |
запись | запись | |
Участник общих папок данных SMB службы хранилища с повышенными правами | Полный доступ | Изменение, Чтение, Запись, Изменение разрешений, Выполнение |
Изменить | Изменить | |
Чтение и выполнение | Чтение и выполнение | |
Чтение | Чтение | |
запись | запись |
Права на наследование.
Существует два типа прав доступа:
- Прямые права доступа: если объект создаётся действием пользователя, доступ, установлен по умолчанию на не дочерние объекты.
- Унаследованный доступ: доступ распространяется на объект от родительского объекта. Наследованный доступ облегчает управление разрешениями и обеспечивает единообразие доступа для всех, находящихся в данном контейнере, объектов.
Наследованный доступ позволяет набору NTFS разрешений для папки быть автоматически применённым к файлам, созданным в той папке и её подпапках. Это означает, что разрешения NTFS для всей структуры папки могут быть установлены в одном месте. И если требуются изменения, то их можно сделать в одном единственном пункте.
Также, не изменяя оригинального назначения доступом, можно установить разрешения на папки и файлы ниже начального пункта наследования. Это сделано для того, чтобы иметь возможность предоставить определённому пользователю или группе пользователей другой доступ к файлу, отличающийся от основного унаследованного доступа.
Существует три способа изменения унаследованного доступа:
- Внести изменения в родительской папке, а затем файлы или папки, унаследуют эти права доступа.
- Изменить доступ на противоположный (разрешить или запретить), чтобы отменить унаследованный доступ.
- Выбрать “не наследовать права доступа от родительского объекта”, а затем внести изменения в права или удалить группу или пользователя из списка прав доступа к файлу или папке.
В большинстве случаев, если папка наследует конфликтующие параметры от разных родителей, команда “Запретить” переопределяет команду “Разрешить”. В этом случае, ближайший к объекту в поддереве наследуемый от родительского элемента параметр, будет иметь приоритет.
Дочерними объектами наследуются только наследуемые права доступа. Когда установлены права доступа к родительскому объекту, в дополнительных настройках безопасности вам нужно установить, могут ли папки или подпапки их наследовать.
Причина 6. Имя файла содержит недействительное имя в пространстве имен Win32
Нельзя удалить файл, если имя файла содержит недействительное имя. Например, у имени файла есть пространство с заехавной частью или периодом отоимки, или имя файла состоит только из пространства. Чтобы устранить эту проблему, используйте средство, использующее соответствующий внутренний синтаксис для удаления файла. Синтаксис с некоторыми средствами можно использовать для работы с этими файлами. Пример:
Причина этой проблемы аналогична . Если вы используете типичный синтаксис Win32, чтобы открыть файл, в названии которого есть пробелы или периоды отстающих, то перед открытием фактического файла зоны или периоды срезаются
Например, у вас есть два файла в одной папке с именем и , обратите внимание на пространство после имени файла. Если вы пытаетесь открыть второй файл с помощью стандартных вызовов Win32, вы откроете первый файл
Аналогичным образом, если у вас есть файл, имя которого — просто символ пространства, и вы пытаетесь открыть его с помощью стандартных вызовов Win32, вместо этого откройте родительную папку файла. В этой ситуации, если вы пытаетесь изменить параметры безопасности этих файлов, вы либо не сможете сделать это, либо вы можете неожиданно изменить параметры на различных файлах. Если такое поведение происходит, вы можете думать, что у вас есть разрешение на файл, который фактически имеет ограничительную ACL.
Способ 1. Изменение владельца с использованием графического интерфейса Windows
- Откройте проводник (редактор реестра) и перейдите к папке/файлу/разделу реестра, к которому необходимо получить доступ.
-
Изменение владельца файла или папки в Windows 10/8.1/8
- Нажмите правую кнопку мыши и выберите в контекстном меню Свойства
- Перейдите на вкладку Безопасность
- Нажмите кнопку Дополнительно
- Нажмите ссылку Изменить вверху окна параметров безопасности.
-
После нажатия ссылки для изменения владельца вы увидите стандартное диалоговое окно выбора пользователя. Напечатайте в поле ‘Имена выбираемых объектов’ имя своей учетной записи или название группы Администраторы. Если вы не знаете точно как написать, то нажмите в окне выбора пользователя кнопку Дополнительно, а в следующем кнопку Поиск. Выберите группу Администраторы (или свою учетную запись) и нажмите кнопку OK.
Если вы меняете владельца папки, то по умолчанию будет изменен владелец только этой папки, но не вложенных в нее папок и файлов. Для того, чтобы заменить владельца всех дочерних объектов папки, установите флажок на параметре «Заменить владельца подконтейнеров и объектов».
После того как вы нажмете кнопку OK для изменения владельца папки, может быть показано предупреждение об отсутствии разрешений для вашей учетной записи. Нажмите кнопку Да для получения полного доступа к объекту.
-
Изменение владельца файла или папки в Windows 7/Vista
- Выполните шаги
- Перейдите на вкладку Владелец и нажмите кнопку Изменить
-
Группа Администраторы и текущая учетная запись будут доступны для выбора в основном окне. Если их нет, то нажмите кнопку ‘Другие пользователи и группы’ и добавьте пользователя или группу так же как описано выше для Windows 10/8 на шаге
Если вы меняете владельца папки, то по умолчанию будет изменен владелец только этой папки, но не вложенных в нее папок и файлов. Для того, чтобы заменить владельца всех дочерних объектов папки, установите флажок на параметре «Заменить владельца подконтейнеров и объектов».
После того как вы нажмете кнопку OK для изменения владельца папки, может быть показано предупреждение об отсутствии разрешений для вашей учетной записи. Нажмите кнопку Да для получения полного доступа к объекту.
-
- Нажмите правую кнопку мыши на подразделе реестра (в левой части редактора реестра) и выберите пункт Разрешения
- Нажмите кнопку Дополнительно
- Если вы используете Windows 10 или 8, выполните шаги и инструкции изменения владельца файлов и папок
Если вы используете Windows 7 или Vista, выполните шаги и инструкции изменения владельца файлов и папок
-
Установка разрешений объекта для учетной записи
- На вкладке Безопасность нажмите кнопку Изменить под списком пользователей и групп
- Нажмите кнопку Добавить
- Введите имя своей учетной записи и нажмите ОК
Если вы не знаете точно как написать, то нажмите в окне выбора пользователя кнопку Дополнительно, а в следующем кнопку Поиск. Выберите свою учетную запись и нажмите кнопку OK.
- Установите необходимые разрешения. Если установить разрешение Полный доступ, то вы автоматически получаете все перечисленные ниже
Пользователи и группы безопасности.
Нужно создать необходимые учётные записи пользователей. Напоминаю, что если на многочисленных ваших персональных компьютерах используются различные учётные записи для пользователей, то все они должны быть созданы на вашем “сервере” и с теми же самыми паролями. Этого можно избежать, только если у вас грамотный админ и компьютеры в Active Directory. Нет? Тогда кропотливо создавайте учётные записи.
- MS Windows XP. Панель Управления – Администрирование – Управление компьютером. Локальные пользователи и группы – Пользователи. Меню Действие – Новый пользователь.
- MS Windows 7. Панель Управления – Администрирование – Управление компьютером. Локальные пользователи и группы – Пользователи. Меню Действие – Создать пользователя.
Теперь очередь за самым главным – группы! Группы позволяют включать в себя учётные записи пользователей и упрощают манипуляции с выдачей прав и разграничением доступа.
Чуть ниже будет объяснено “наложение прав” на каталоги и файлы, но сейчас главное понять одну мысль. Права на папки или файлы будут предоставляться группам, которые образно можно сравнить с контейнерами. А группы уже “передадут” права включённым в них учётным записям. То есть нужно мыслить на уровне групп, а не на уровне отдельных учётных записей.
- MS Windows XP. Панель Управления – Администрирование – Управление компьютером. Локальные пользователи и группы – Группы. Меню Действие – Создать группу.
- MS Windows 7. Панель Управления – Администрирование – Управление компьютером. Локальные пользователи и группы – Группы. Меню Действие – Создать группу.
Нужно включить в нужные группы нужные учётные записи. Для примера, на группе Бухгалтеры правой клавишей мыши и там Добавить в группу или Свойства и там кнопка Добавить. В поле Введите имена выбираемых объектов впишите имя необходимой учётной записи и нажмите Проверить имена. Если всё верно, то учётная запись изменится к виду ИМЯСЕРВЕРА\учётная_запись. На рисунке выше, учётная запись buh3 была приведена к WINSERVER\buh3.
Итак, нужные группы созданы и учётные записи пользователей включены в нужные группы. Но до этапа назначения прав на папках и файлах с помощью групп хотелось бы обсудить пару моментов.
Стоит ли заморачиваться с группой, если в ней будет одна учётная запись? Считаю, что стоит! Группа даёт гибкость и маневренность. Завтра вам понадобится ещё одному человеку Б дать те же права, что и определённому человеку с его учётной записью А. Вы просто добавите учётную запись Б в группу, где уже имеется А и всё!
Намного проще, когда права доступа выданы группам, а не отдельным персонам. Вам остаётся лишь манипулировать группами и включением в них нужных учётных записей.
Файловая система NT (NTFS)
NTFS – это современная файловая система, которую Windows предпочитает использовать по умолчанию. При установке Windows форматирует системный диск в формат файловой системы NTFS. NTFS имеет настолько огромные ограничения по размеру файла и размеру раздела, что вряд ли Вы когда-либо с ними столкнетесь. NTFS впервые появилась в потребительской версии Windows XP, хотя первоначально дебютировала в Windows NT.
NTFS упакован современными функциями, недоступными для FAT32 и exFAT. NTFS поддерживает права доступа к файлам для безопасности, журнал изменений, который может помочь быстро восстановить ошибки, если ваш компьютер аварийно завершает работу, теневые копии для резервных копий, шифрование, ограничения дисковой квоты, жесткие ссылки и различные другие функции. Многие из них имеют решающее значение для диска операционной системы, особенно разрешения на доступ к файлам.
Системный раздел Windows должен быть в формате NTFS. Если у вас есть дополнительный диск вместе с Windows, и вы планируете установку программ на нём, лучше также отформатируйте его в NTFS. И, если у вас есть какие-либо диски, для которых совместимость не является проблемой – потому что Вы знаете, что будете использовать их на системах Windows – смело выбирайте NTFS.
Несмотря на свои преимущества, NTFS не хватает совместимости. Она будет работать со всеми последними версиями Windows – вплоть до Windows XP – но он имеет ограниченную совместимость с другими операционными системами. По умолчанию ОС Mac X может только читать NTFS диски, но не записывать данные. Некоторые дистрибутивы Linux могут включать поддержку NTFS-записи, но в других может быть доступно только чтение. Ни одна из консолей Sony PlayStation не поддерживает NTFS. Даже собственная консоль Xbox 360 от Microsoft не может читать NTFS диски, кроме Xbox One. Другие устройства с еще меньшей вероятностью поддерживают NTFS.
- Совместимость: работает со всеми версиями Windows, но в Mac доступна только для чтения, и может быть доступна только для чтения в некоторых дистрибутивах Linux. Другие устройства, за исключением Microsoft Xbox One, вероятно, не будут поддерживать NTFS.
- Ограничения: нереалистичный предельный размер файлов и размер раздела.
- Идеальное использование: используйте её для диска вашей системы Windows и других внутренних дисков, которые будут использоваться только с Windows.
Поддерживаемые разрешения
Служба «Файлы Azure» поддерживает полный набор основных и дополнительных списков Windows ACL. Вы можете просматривать и настраивать списки Windows ACL для каталогов и файлов в файловом ресурсе Azure, подключив ресурс, а затем выполнив команду Windows icacls или Set-ACL.
Чтобы настроить разрешения Windows ACL с привилегиями суперпользователя, нужно подключить общий ресурс с использованием ключа учетной записи хранения из виртуальной машины, присоединенной к домену. Следуйте инструкциям в следующем разделе, чтобы подключить файловый ресурс Azure из командной строки и настроить списки Windows ACL.
Для корневой папки файлового ресурса доступен следующий набор разрешений:
- BUILTIN\Administrators:(OI)(CI)(F);
- BUILTIN\Users:(RX);
- BUILTIN\Users:(OI)(CI)(IO)(GR,GE);
- NT AUTHORITY\Authenticated Users:(OI)(CI)(M);
- NT AUTHORITY\SYSTEM:(OI)(CI)(F);
- NT AUTHORITY\SYSTEM:(F);
- CREATOR OWNER:(OI)(CI)(IO)(F).
Пользователи | Определение |
---|---|
BUILTIN\Administrators | Все пользователи, являющиеся администраторами домена локальной среды AD DS. |
BUILTIN\Users | Встроенная группа безопасности в AD. По умолчанию он включает в себя пользователей NT AUTHORITY\Authenticated Users. Для традиционного файлового сервера можно настроить определение членства для каждого сервера. Для файлов Azure нет хост-сервера, поэтому BUILTIN\Users включает тот же набор пользователей, что и NT AUTHORITY\Authenticated Users. |
NT AUTHORITY\SYSTEM | Учетная запись службы операционной системы файлового сервера. Такая учетная запись службы не применяется в контексте файлов Azure. Она добавляется в корневой каталог, чтобы соответствовать интерфейсу файлового сервера Windows для гибридных сценариев. |
NT AUTHORITY\Authenticated Users | Все пользователи в AD, которые могут получить действительный маркер безопасности Kerberos. |
CREATOR OWNER | У каждого объекта — либо каталога, либо файла — есть свой владелец. Если есть ACL, назначенные CREATOR OWNER для этого объекта, то пользователь, который является владельцем этого объекта, имеет разрешения для объекта, определенного ACL. |
Добавление команды смены владельца объекта в контекстное меню проводника
Для упрощения процедуры смены владельца вы можете добавить соответствующий пункт в контекстное меню проводника.В предлагаемом варианте также используются утилиты командной строки takeown и icacls с определенными параметрами, а полученная команда установит текущего пользователя владельцем объекта, на котором будет применяться.
Вы можете скачать готовые файлы реестра для импортирования по этой ссылке: TakeOwnership.zip
Содержимое архива:
- Add_Take_Ownership_RU.reg — для добавления пункта меню смены владельца в русской версии Windows
- Add_Take_Ownership_EN.reg — для добавления пункта меню смены владельца в английской версии Windows
- Add_Take_Ownership_with_Pause_RU.reg — для добавления пункта меню смены владельца, при использовании которого окно выполнения команды не закрывается автоматически после обработки. В окне выполнения команды выводится результат обработки. Файл используется добавления пункта меню в русской версии Windows.
- Add_Take_Ownership_with_Pause_EN.reg — для добавления пункта меню смены владельца в английской версии Windows. Окно выполнения команды не закрывается автоматически, так же как и для файла №3.
- Remove_Take_Ownership.reg — для удаления пункта меню смены владельца независимо от языка системы и используемого файла для его добавления.
Подробнее о применении твиков реестра вы можете прочитать здесь: Применение твиков реестра
Примечание. Если ранее вами был добавлен другой пункт контекстного меню с использованием такого же метода (запись в раздел реестра HKEY_CLASSES_ROOT\*\shell\runas), то он будет заменен.
Описание файлов реестра, содержащихся в архиве:
- Для добавления пункта меню «Смена владельца» в русской версии Windows примените этот твик реестра:
- Для добавления пункта меню «Take Ownership» в английской версии Windows примените этот твик реестра:
- Для удаления этого пункта меню (независимо от языка системы) можете использовать следующий твик реестра:
Разрешения для общих папок
К вашим общим папкам, возможно, будут подключаться десятки, а то и сотни пользователей. У каждого пользователя должны быть назначены свои разрешения на ваши общие ресурсы. При помощи оснастки «Общие папки» у вас есть возможность назначения разрешений для пользователей, которые используют ваши общие файлы и папки. Среди параметров разрешения для общих ресурсов доступны параметры «Чтение», «Изменение» и «Полный доступ», о которых было рассказано в предыдущем разделе данной статьи.
Если ваш компьютер входит в состав домена Active Directory или если вы хотите указать более строгие разрешения для своих ресурсов, то вам нужно воспользоваться возможностями вкладки «Безопасность» свойств общего ресурса. На данной вкладке разрешения задаются на уровне файловой системы NTFS, и вы можете указать более строгие параметры доступа, нежели при использовании возможностей, предоставленных на вкладке «Разрешения для общего ресурса». Параметры доступа, которые можно назначать, используя вкладку «Безопасность» будут рассмотрены в отдельной статье. Для того чтобы изменить разрешения общего доступа, сделайте следующее:
- Откройте оснастку «Общие папки» и в дереве консоли перейдите на узел «Общие ресурсы»;
- Выделите ресурс, разрешения которого вам нужно изменить и откройте его свойства двойным щелчком мыши или выбрав команду «Свойства» из контекстного меню;
- Перейдите на вкладку «Разрешения общего доступа» и установите разрешения для выбранных пользователей, как показано ниже:
Рис. 11. Изменение разрешений для общего ресурса
Помимо оснастки «Общие папки» вы можете управлять разрешениями и списком контроля доступа (ACL) при помощи утилит командной строки. Для выполнения этих действий в операционной системе есть две утилиты – ICACLS, а также устаревшая версия данной утилиты CALCS, о которых будет рассказано в отдельной статье.
Утилита Icacls
Эта утилита специально предназначена для работы с ACL. В числе прочего она может сохранить список доступа указанного объекта в файл, а затем применить этот список к указанному объекту.
Открываем командную консоль и сохраняем ACL исходного каталога Temp со всем его содержимым (подкаталоги и файлы) в файл tempACL командой:
Icacls C:\Temp\* /save tempACL /t
По умолчанию утилита сохраняет файл в профиле пользователя — C:\Users\Имя_пользователя. Это обычный текстовый файл, который при желании можно открыть в Блокноте.
Перенесем созданный файл tempACL на SRV1 и восстановим из него ACL каталога Temp командой:
Icacls C:\temp /restore C:\tempACL
синтаксис команды icacls выглядит следующим образом:
icacls папка\файл /setowner Пользователь параметрыПосмотрим несколько конкретных примеров, как можно изменить владельца файла или папки.icacls «C:\Program Files (x86)\UltraISO\UltraISO.exe» /setowner Administrator /C /L /Qicacls «C:\Program Files (x86)\UltraISO\UltraISO.exe» /setowner «NT SERVICE\TrustedInstaller» /C /L /Qicacls «C:\Program Files (x86)\UltraISO\» /setowner Medvedev /T /C /L /Qicacls «C:\Program Files (x86)\UltraISO\» /setowner Putin /T /C /L /Q/Q – сообщение об успешном выполнении команды не выводится;/L – команда выполняется непосредственно над символической ссылкой, а не конкретным объектом;/C – выполнение команды будет продолжаться несмотря на файловые ошибки; при этом сообщения об ошибках все равно будут отображаться;/T – команда используется для всех файлов и каталогов, которые которые расположены в указанном каталоге;А вот как можно изменять разрешения для файла или папки:icacls папка_или_файл /grant:r пользователь:разрешениеСписок разрешений выглядит следующим образом:D – удаление;F – полный доступ;M – изменение;RX – чтение и выполнение;R – чтение;W – запись.В качестве примера можно привести следующие команды:icacls «C:\Program Files (x86)\UltraISO\UltraISO.exe» /grant:r Putin:Ficacls «C:\Program Files (x86)\UltraISO\UltraISO.exe» /grant:r Putin:Micacls «C:\Program Files (x86)\UltraISO\» /grant:r Putin:Ficacls «C:\Program Files (x86)\UltraISO\» /grant:r Putin:RX /TЧтобы узнать больше, введите в командной строке команду icacls /? и вы получите полный перечень ее команд.
Описание команды icacls: http://technet.microsoft.com/ru-ru/library/cc753525(v=ws.10).aspx
Открытие оснастки «Общие папки»
К сожалению, средство управления общими папками нельзя открыть из панели управления. Вы можете открыть оснастку управления общими папками любым из следующих способов:
- Воспользуйтесь комбинацией клавиш +R для открытия диалога «Выполнить». В диалоговом окне «Выполнить», в поле «Открыть» введите fsmgmt.msc и нажмите на кнопку «ОК».
- Откройте «Консоль управления MMC». Для этого нажмите на кнопку «Пуск», в поле поиска введите mmc, а затем нажмите на кнопку «Enter». Откроется пустая консоль MMC. В меню «Консоль» выберите команду «Добавить или удалить оснастку» или воспользуйтесь комбинацией клавиш Ctrl+M. В диалоге «Добавление и удаление оснасток» выберите оснастку «Общие папки». В диалоговом окне «Общие папки», который изображен на следующей иллюстрации, вы можете выбрать компьютер, общими папками которого хотите управлять. По умолчанию вам предлагается выбрать локальный компьютер, но если вы хотите открыть оснастку «Общие папки» для другого компьютера – в области «Эта оснастка всегда управляет» переместите переключатель на опцию «другим компьютером» и введите имя или IP-адрес компьютера. По нажатию на кнопку «Обзор» вы можете выбрать компьютер, используя диалоговое окно «Выбор: Компьютер». Также вы можете указать, что будет отображаться в консоли управления Microsoft: только общие ресурсы, только сеансы, только открытые файлы или все три категории сразу.
Рис. 1. Диалоговое окно «Общие папки» при добавлении оснастки в консоль управления MMC
После того как вы сделаете выбор компьютера и области просмотра нажмите на кнопку «Готово». В диалоге «Добавление или удаление оснасток» нажмите на кнопку «ОК»;
Нажмите правой кнопкой мыши на значке «Компьютер» и из контекстного меню выберите команду «Управление». В дереве консоли выберите узел «Общие папки»;
Оснастка «Общие папки» изображена на следующей иллюстрации:
Рис. 2. Оснастка «Общие папки»
История версий и совместимость
ReFS имеет несколько разных версий с разной степенью совместимости между версиями операционной системы. Помимо разрабатываемых версий файловой системы, обычно более поздние версии операционной системы могут монтировать файловые системы, созданные в более ранних версиях ОС (обратная совместимость). Некоторые функции могут быть несовместимы с набором функций ОС. Версию, размер кластера и другие особенности файловой системы можно узнать с помощью команды fsutil fsinfo refsinfo volumename .
- 1.1 : исходная версия, отформатированная Windows Server 2012.
- 1.2 : версия по умолчанию, если она отформатирована в Windows 8.1, Windows 10 v1507 to v1607, Windows Server 2012 R2 и если указано ReFSv1 в Windows Server 2016. Может использовать альтернативные потоки данных в Windows Server 2012 R2.
- 2.2 : версия по умолчанию, отформатированная Windows 10 Preview build 10049 или более ранней. Не может быть установлен в 10061 и более поздних версиях.
- 2.0 : версия по умолчанию, отформатированная Windows Server 2016 TP2 и TP3. Не удалось подключить в Windows 10 Build 10130 и новее или Windows Server 2016 TP4 и новее.
- 3.0 : версия по умолчанию, отформатированная Windows Server 2016 TP4 и TP5.
- 3.1 : версия по умолчанию, отформатированная Windows Server 2016 RTM.
- 3.2 : версия по умолчанию, отформатированная Windows 10 v1703 и сборкой Windows Server Insider Preview 16237. Может быть отформатирована с помощью Windows 10 Insider Preview 15002 или более поздней версии (хотя стала по умолчанию только где-то между 15002 и 15019). Поддерживает дедупликацию в серверной версии.
- 3.3 : версия по умолчанию, отформатированная в Windows 10 Enterprise v1709 (возможность создания тома ReFS удалена из всех выпусков, кроме Enterprise и Pro для рабочих станций, начиная со сборки 16226; возможность чтения / записи остается) и Windows Server версии 1709 (начиная со сборки Windows 10 Enterprise Insider Preview 16257 и сборка Windows Server Insider Preview 16257).
- 3.4 : версия по умолчанию, отформатированная Windows 10 Pro для рабочих станций / Enterprise v1803 и новее, а также серверные версии (включая версию с долгосрочной поддержкой Windows Server 2019).
- 3.5 : версия по умолчанию, отформатированная Windows 10 Enterprise Insider Preview (сборка 19536 или новее); Добавлена поддержка жестких ссылок (только для свежего отформатированного тома; не поддерживается для томов, обновленных с предыдущих версий).
- 3.6 : версия по умолчанию, отформатированная Windows 10 Enterprise Insider Preview (сборка 21292 или новее) и Windows Server Insider Preview (сборка 20282 или новее)
- 3.7 : версия по умолчанию, отформатированная Windows 10 Enterprise Insider Preview (сборка 21313 или новее) и Windows Server Insider Preview (сборка 20303 или новее). Также версия, используемая в Windows Server 2022 и Windows 11 .
ReFS | Windows Server 2012 | Windows 8.1, Server 2012 R2 | Windows 10 v1507 — v1607 | Windows Server 2016 TP2, TP3 | Windows Server 2016 TP4, TP5 | Окончательная первоначальная версия Windows Server 2016 | Windows 10 v1703 | Windows 10 v1709, Windows Server 1709 5 | Windows 10 v1803 — v1809, Windows Server 2019, 1803 — 1809 5 |
---|---|---|---|---|---|---|---|---|---|
1.1 | Дефолт | Да 1 | Да 1 | Да 1 | Да 1 | Да 1 | Да 1 | ? | Да 1 |
1.2 | да | Дефолт | Дефолт | да | да | да | да | да | да |
2.0 | Нет | Нет | Нет | Нет | Дефолт | Нет | Нет | Нет | Нет |
3.0 | Нет | Нет | Нет | Нет | Нет | Да 2 | Да 3 | Да 4 | Да 6 |
3.1 | Нет | Нет | Нет | Нет | Нет | Дефолт | Да 3 | Да 4 | Да 6 |
3.2 | Нет | Нет | Нет | Нет | Нет | Нет | Дефолт | Да 4 | Да 6 |
3.3 | Нет | Нет | Нет | Нет | Нет | Нет | Нет | Дефолт | Да 6 |
3,4 | Нет | Нет | Нет | Нет | Нет | Нет | Нет | Нет | Дефолт |
Примечания:
- 1 : В журнал событий записывается следующее сообщение: «Том«?: »Был смонтирован в более старой версии Windows. Некоторые функции могут быть потеряны ».
- 2 : Windows обновляет его до версии 3.1, когда том монтируется с доступом для записи.
- 3 : Windows обновляет его до версии 3.2, когда том монтируется с доступом для записи.
- 4 : Windows обновляет его до версии 3.3, когда том монтируется с доступом для записи.
- 5. Возможность создания тома ReFS удалена в Windows 10 v1709 (Fall Creators Update 2017), за исключением выпусков Enterprise и Pro для рабочих станций.
- 6 : Windows обновляет его до версии 3.4, когда том монтируется с доступом для записи.
Права на наследование.
Существует два типа прав доступа:
- Прямые права доступа: если объект создаётся действием пользователя, доступ, установлен по умолчанию на не дочерние объекты.
- Унаследованный доступ: доступ распространяется на объект от родительского объекта. Наследованный доступ облегчает управление разрешениями и обеспечивает единообразие доступа для всех, находящихся в данном контейнере, объектов.
Наследованный доступ позволяет набору NTFS разрешений для папки быть автоматически применённым к файлам, созданным в той папке и её подпапках. Это означает, что разрешения NTFS для всей структуры папки могут быть установлены в одном месте. И если требуются изменения, то их можно сделать в одном единственном пункте.
Также, не изменяя оригинального назначения доступом, можно установить разрешения на папки и файлы ниже начального пункта наследования. Это сделано для того, чтобы иметь возможность предоставить определённому пользователю или группе пользователей другой доступ к файлу, отличающийся от основного унаследованного доступа.
Существует три способа изменения унаследованного доступа:
- Внести изменения в родительской папке, а затем файлы или папки, унаследуют эти права доступа.
- Изменить доступ на противоположный (разрешить или запретить), чтобы отменить унаследованный доступ.
- Выбрать «не наследовать права доступа от родительского объекта», а затем внести изменения в права или удалить группу или пользователя из списка прав доступа к файлу или папке.
В большинстве случаев, если папка наследует конфликтующие параметры от разных родителей, команда «Запретить» переопределяет команду «Разрешить». В этом случае, ближайший к объекту в поддереве наследуемый от родительского элемента параметр, будет иметь приоритет.
Дочерними объектами наследуются только наследуемые права доступа. Когда установлены права доступа к родительскому объекту, в дополнительных настройках безопасности вам нужно установить, могут ли папки или подпапки их наследовать.
Получение текущих разрешений в Powershell
На примере ниже я верну разрешения для папки «C:\TestFolder\»
В области 1 выделен владелец папки, а под областью 2 отображаются все группы и пользователи с правами.
Мы можем проверять права не только локальной, но и сетевой папки. На примере ниже возвращена та же папка:
Поиск всех папок с правами у определенной группы
Представим, что мы хотим проверить права данные определенной группе. Мы можем заходить в свойства каждой папки и смотреть вкладку «Безопасности», а можем сделать это через Powershell.
Обычно у нас есть какой-то каталог с общим доступом с папками внутри, на которые мы выдаем разрешения. В моем случае такой каталог «Moscow», а на папки внутри я уже даю права:
В следующем примере я узнаю на какие папки установлены разрешения для TestGroup:
Утилита командной строки ICACLS
Мы уже обсуждали тему настройки прав доступа к папкам/файлам. Тогда мы использовали привычный интерфейс Windows. В данной теме мы поговорим о утилите командной строки ICACLS, функционал которой позволяет выполнить те же действия.
Просмотр действующих разрешений
Чтобы с помощью утилиты ICACLS просмотреть действующие разрешения доступа к какому-либо объекту, необходимо в окне командной строки выполнить следующую команду:
icacls c:\papka_ili_file
Ответом на данную команду послужит список всех пользователей и групп пользователей, которые имеют какие-нибудь права доступа к данному объекту. Напротив каждого пользователя будут указаны права доступа, которые у него есть. Правда указаны они будут с помощью сокращений. Приведу список сокращений для основных прав доступа:
- F — Полный доступ. Скорее всего «f» подразумевает под собой первую букву слова «full»(полный).
- M — Изменение. Скорее всего от слова «modification».
- RX — Чтение и выполнение. «Read» и, возможно, «execution».
- R — Чтение. «Read».
- W — Запись. «Write».
- D — Удаление. «Delete».
Напомню, что в расширенной настройке прав доступа количество различных прав доступа много больше. Чтобы увидеть полный список, введите команду
icacls /?
Хочу добавить, что возможности командной строки всегда выше, нежели возможности настройки через интерфейс. И утилита ICACLS не выделилась из этого правила. Утилита ICACLS дает возможность наделить пользователя правом доступа Максимально возможный(MA).
Настройка разрешений доступа к объекту
Чтобы наделить какого-либо пользователя какими-либо правами доступа, необходимо выполнить команду:
icacls c:\papka_ili_file /grant user:ma
Данной командой мы наделили пользователя user правами MA(Максимально возможный).
icacls c:\papka_ili-file /deny user:w
А данная команда выдает запрет на запись(w) для пользователя user.
Резервная копия прав доступа к объекту
icacls c:\papka /save name /t
icacls c:\drugaya_papka /restore name
Приведенные две команды еще ярче показывают то, что возможности командной строки намного выше возможностей интерфейса. Так, первая команда утилиты ICACLS способна создать резервную копию прав доступа для указанного объекта и сохранить его в файл с именем name. Вторая же команда позволяет применить резервную копию для другого объекта. Таким образом процесс переноса прав доступа с одной папки на другую становится намного легче. Тут стоит отметить, что файл с правами доступа по умолчанию сохраняется в корневую папку активного пользователя.
Вот такие основные возможности предоставляет пользователю утилита ICACLS.