Článek přečtěte do 5 min.

Základ zabezpečení Windows je jednoduchý – pokud chcete mít přístup k síťovému prostředku, jako je soubor nebo složka, potřebujete příslušná oprávnění. Implementace je však složitější, protože operační systém Windows má dva typy oprávnění: oprávnění NTFS, která fungují na úrovni systému souborů, a oprávnění ke sdílení, která řídí síťový přístup ke sdíleným zdrojům.

V tomto článku prozkoumáme oprávnění NTFS vs. oprávnění ke sdílení, včetně toho, co každý z těchto typů oprávnění umí, jak se liší a jak můžete společně používat NTFS a oprávnění ke sdílení k vynucení zásady nejmenšího oprávnění na všech počítačích se systémem Windows.

Co je NTFS?

NTFS (New Technology File System) je standardní souborový systém pro Microsoft Windows NT a novější operační systémy, který nahrazuje starší souborový systém nazývaný File Allocation Table (FAT). FAT (zejména FAT32) se však stále používá, zejména na vyměnitelných úložných zařízeních.

NTFS podporuje efektivní ukládání a načítání prostřednictvím své hlavní tabulky souborů (MFT), která sleduje všechny soubory a adresáře na disku. Tato struktura umožňuje systému NTFS efektivně spravovat velká množství dat při zachování rychlých přístupových časů. Navíc jeho podpora velikosti souborů zvládne požadavky dnešních moderních aplikací a ukládání médií. Z hlediska zabezpečení podporuje šifrování na úrovni souborů i složek a umožňuje správcům nastavit podrobná oprávnění pro soubory a složky.

Co jsou oprávnění NTFS?

Oprávnění NTFS se používají ke správě přístupu k datům uloženým v souborových systémech NTFS. Hlavní výhody oprávnění ke sdílení NTFS spočívají v tom, že ovlivňují místní uživatele i uživatele sítě a že jsou založena na oprávněních udělených jednotlivému uživateli při přihlášení do systému Windows, bez ohledu na to, odkud se uživatel připojuje.

Existují základní i pokročilá oprávnění NTFS. Každé z oprávnění můžete nastavit na Povolit nebo Zakázat a řídit tak přístup k objektům NTFS.

Zde jsou základní typy přístupových oprávnění:

  • Plná kontrola – Uživatelé mohou přidávat, upravovat, přesouvat a odstraňovat soubory a adresáře, stejně jako jejich přidružené vlastnosti. Kromě toho mohou uživatelé měnit nastavení oprávnění pro všechny soubory a podadresáře.
  • Upravit – Uživatelé mohou prohlížet a upravovat soubory a vlastnosti souborů, včetně přidávání souborů do adresáře nebo mazání souborů z adresáře nebo vlastností souborů do nebo ze souboru.
  • Číst a spouštět – Uživatelé mohou spouštět spustitelné soubory, včetně skriptů.
  • Číst — Uživatelé mohou prohlížet soubory, vlastnosti souborů a adresáře.
  • Zápis — Uživatelé mohou zapisovat do souboru a přidávat soubory do adresářů.

Jak nastavit oprávnění NTFS (průvodce krok za krokem)

  1. Klepněte pravým tlačítkem myši na sdílenou složku.
  2. Otevřete kartu Zabezpečení a klikněte na Upravit, jak je znázorněno níže:
  • Klepněte na tlačítko Přidat. Poté vyberte požadovanou skupinu (personál HR v příkladu níže) a pomocí zaškrtávacích polí Povolit a Zakázat přiřaďte požadovaná oprávnění, jak je uvedeno níže.
  • Klepnutím na tlačítko Použít oprávnění použijete.

Co jsou oprávnění ke sdílení?

Oprávnění ke sdílení spravují přístup ke složkám sdíleným v síti, jako je sdílená složka umístěná na centrálně hostovaném souborovém serveru. Oprávnění ke sdílení se nevztahují na uživatele, kteří se přihlásí místně. Oprávnění ke sdílení se vztahují na všechny soubory a složky ve sdílené složce; nemůžete podrobně řídit přístup k podsložkám nebo objektům ve sdílené složce. Můžete zadat počet uživatelů, kteří mají povolen přístup ke sdílené složce. Oprávnění ke sdíleným složkám lze použít se systémy souborů NTFS, FAT a FAT32.

Existují tři typy oprávnění ke sdílení:

  • Číst — Uživatelé mohou zobrazovat názvy souborů a podsložek, číst data v souborech a spouštět programy. Ve výchozím nastavení má skupina Everyone přidělena oprávnění ke čtení.
  • Změna — Uživatelé mohou dělat vše, co jim umožňuje oprávnění Číst, a také přidávat soubory a podsložky, měnit data v souborech a odstraňovat podsložky a soubory. Toto oprávnění není ve výchozím nastavení přiřazeno.
  • Úplná kontrola – Uživatelé mohou dělat vše, co jim umožňují oprávnění Číst a měnit, a také mohou měnit oprávnění pouze pro soubory a složky NTFS. Ve výchozím nastavení má skupina Administrators oprávnění Úplné řízení.

Jak nastavit oprávnění ke sdílení (podrobný průvodce)

  1. Klepněte pravým tlačítkem myši na sdílenou složku.
  2. Klikněte na Vlastnosti.
  3. Otevřete kartu Sdílení a kliknutím na tlačítko Sdílet sdílejte složku:
  • Vyberte skupinu, se kterou chcete složku sdílet, a přidělte oprávnění ke sdílení, jak je znázorněno zde:
  • Klikněte na tlačítko Sdílet vpravo dole.
  • Jakmile je složka sdílena, nastavíte pokročilé možnosti. Nejprve klikněte na Rozšířené sdílení:

Poté klikněte na tlačítko Oprávnění. Ve vyskakovacím okně vyberte uživatele nebo skupinu a přiřaďte požadovaná oprávnění, jak je uvedeno níže. Poté kliknutím na OK dokončete úkol.

Klíčové rozdíly mezi NTFS a oprávněními ke sdílení

Pochopení rozdílů mezi oprávněními ke sdílení a oprávněními NTFS je nezbytné pro správnou správu přístupu k souborům a složkám v prostředí Windows.

Zde jsou některé klíčové rozdíly mezi těmito dvěma:

Funkce Oprávnění ke sdílení Oprávnění NTFS
Snadné ovládání Snadné jablko a správa Podrobnější ovládání složky a obsahu
Kompatibilita souborového systému Pracuje se systémy souborů NTFS i FAT nebo FAT32 Dostupné pouze pro systémy souborů NTFS
Omezení připojení Může omezit souběžná připojení Připojení nelze omezit
Umístění konfigurace Pokročilé sdílení > Oprávnění Vlastnosti souboru/složky > karta Zabezpečení
Rozsah řízení přístupu Reguluje pouze vzdálený přístup k síti Zabezpečuje místní i vzdálený přístup
Místní dopad na přístup Nemá vliv na místní přístup Řídí místní a vzdálený přístup
Bezpečnostní krytí Omezeno na síťová prostředí Zabezpečuje místní i vzdálený přístup
Doplňkové použití Pro plnou ochranu vyžaduje oprávnění NTFS Funguje nezávisle, ale zvyšuje celkovou bezpečnost

Jak interagují NTFS a oprávnění ke sdílení

Když se používá NTFS i oprávnění ke sdílení, co se stane, když se překrývají? Pokud má například složka oprávnění ke sdílení Úplné řízení, ale pouze oprávnění ke čtení NTFS, jaký je konečný výsledek?

Pokud jsou současně používána oprávnění NTFS a sdílení, vždy vítězí nejpřísnější oprávnění. Pokud je například oprávnění ke sdílené složce pro skupinu Everyone nastaveno na Číst a oprávnění NTFS je nastaveno na Upravit, platí oprávnění ke sdílení, protože je více omezující; uživatel nesmí měnit soubory na sdíleném disku.

Obecně se doporučuje nastavit oprávnění ke sdílení na vyšší úrovni při používání oprávnění NTFS k vynucení určitých řízení přístupu. Zvažte například sdílenou složku v prostředí pro spolupráci, kde tým potřebuje často přistupovat k souborům. Nastavení oprávnění ke sdílení na Úplné řízení pro skupinu uživatelů jim umožňuje snadno vytvářet, upravovat a odstraňovat soubory bez problémů s přístupem, když se připojují ke sdílené složce přes síť. Chcete-li však chránit citlivá data v této sdílené složce, můžete použít přísnější oprávnění NTFS, která omezují přístup ke konkrétním souborům nebo podsložkám. Tento přístup zajišťuje, že zatímco uživatelé mohou volně pracovat s většinou obsahu ve sdílené složce, citlivé informace jsou stále chráněny přísnějšími kontrolami NTFS.

Pro více informací nás neváhejte kontaktovat.

Zdroj: Netwrix