вложенные папки всегда наследуют список контроля доступа, установленный для родительской папки (Container Inherit ACL);
файлы наследуют список контроля доступа, установленный для создаваемых в этой папке файлов (Object Inherit ACL).
Напротив, при перемещении внутри раздела (например, из одной папки на диске С: в другую) создания нового файла или папки не происходит. А значит, нет и наследования — в этом случае файлы или папки сохраняют установленные для них ранее разрешения NTFS.
Программа SCOPY
Как мы выяснили, при операциях копирования файлы и каталоги теряют установленные для них разрешения на доступ, получая новый список контроля доступа из списка того каталога, в который копируются. Однако иногда требуется скопировать файлы или каталоги с сохранением установленных для них разрешений (например, при создании резервных копий). Для этого можно воспользоваться содержащейся в Windows NT Resource Kit небольшой системной программой SCOPY. Она похожа на утилиту XCOPY, но копирует не только сами файлы, но и установленные для них разрешения NTFS. Синтаксис команды таков:
SCOPY источник [результат] [/о] [/a] [/s] где:
источник — обозначает исходные файл (файлы), которые будут скопированы;
результат — указывает на размещение и/или имена новых файлов;
/a — копирует дополнительно информацию о владельце;
/o — копирует установленные параметры аудита;
/s — копирует все файлы в подкаталогах;
/? — показывает все возможные параметры команды.
Примечание Для работы с программой SCOPY пользователь должен обладать правом Backup and Restore Files как на компьютере, откуда берутся файлы, так и на компьютере, куда они будут скопированы. Кроме того, чтобы задействовать ключи /о или /а или копировать с помощью программы SCOPY файлы других пользователей, к которым у Вас нет доступа, необходимы права члена группы Administrators. Если в каталоге, в который копируется файл, уже есть файл с тем же именем, то, несмотря на нормальное сообщение программы о копировании, реально файл не копируется, и поэтому у него сохраняются установленные ранее разрешения NTFS. |
Копирование и перемещение на разделах с NTFS |
Администратор должен обучать пользователей правилам наследования разрешений NTFS при копировании и перемещении файлов, иначе могут возникать следующие проблемы. Пользователь может скопировать содержащий конфиденциальную информацию файл в доступный другим сотрудникам каталог, ошибочно полагая, что установленные ранее на файл разрешения NTFS сохранятся и не позволят им получить доступ к файлу. Чтобы этого не произошло, нужно либо установить необходимые параметры защиты сразу после копирования, либо вначале переместить файл в новый каталог, а затем скопировать его обратно в исходный. С другой стороны, чтобы сотрудники могли прочитать файл, созданный в защищенном от доступа каталоге, надо поместить в общедоступный каталог посредством операции копирования. Если же Вы переместите файл в новый каталог (расположенный на том же диске), не забудьте изменить затем разрешения этого файла так, чтобы дать доступ к нему других пользователей. Точно так же, если созданный в доступном каталоге файл с конфиденциальной информацией надо поместить в закрытый каталог, примените копирование, а не перемещение, иначе доступ к этому файлу для пользователей, не имеющих доступа к каталогу, сохранится. Если на компьютере с Windows NT установлен Internet Explorer версии 4.0, Вы можете столкнуться с тем, что при копировании с помощью этой программы файлов (но не каталогов) будут сохраняться разрешения NTFS, установленные на файл. Это обстоятельство следует иметь в виду как администраторам, так и пользователям, поскольку это противоречит изложенным выше правилам наследования разрешений. Более подробную информацию об этом Вы найдете в Microsoft KnowledgeBase в статье Q175199. |
Средства просмотра и управления разрешениями NTFS
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.