Разрешения для общего ресурса, такого как папка или том, определяются локальными разрешениями NTFS для этого ресурса и протоколом, который используется для доступа к общему ресурсу.
-
Протокол SMB (Server Message Block)
Управление доступом на основе SMB (для файловых систем Windows) реализуется путем предоставления разрешений отдельным пользователям и группам.
-
Протокол NFS (Network File System)
Управление доступом на основе NFS (для файловых систем UNIX) реализуется путем предоставления разрешений определенным клиентским компьютерам и группам с использованием сетевых имен.
При определении результирующего набора разрешений на доступ к общему ресурсу учитываются как разрешения NTFS, так и разрешения по протоколу общего доступа, после чего применяются более строгие разрешения. Если для общей папки SMB включено перечисление на основе доступа, Windows скрывает файлы и папки, для чтения которых у пользователей нет разрешений.
Настроить разрешения и включить перечисление на основе доступа для общего ресурса можно при создании новой общей папки или тома с помощью мастера подготовки общих папок либо выделив существующий общий ресурс и щелкнув Свойства в области Действия.
В этом разделе рассматриваются следующие темы:
Дополнительные сведения об использовании мастера подготовки общих папок см. в разделе Предоставление общего доступа к ресурсу. Сведения о настройке свойств существующего общего ресурса см. в разделе Просмотр и изменение свойств общей папки.
Разрешения NTFS
Настройка локальных разрешений NTFS для общей папки или тома с помощью оснастки «Управление общими ресурсами и хранилищами» может выполняться следующими способами.
-
Новые общие ресурсы. Прежде чем выбрать протокол общего сетевого доступа, в мастере подготовки общих папок можно изменить разрешения NTFS для папки или тома, к которым будет предоставляться общий доступ. Эти разрешения NTFS применяются как локально, так и при доступе к ресурсу по сети. Чтобы изменить разрешения NTFS, выберите на странице Разрешения NTFS параметр Да, изменить разрешения NTFS, а затем нажмите кнопку Изменить разрешения.
-
Существующие общие ресурсы.Можно изменить разрешения NTFS для общей папки или тома на вкладке Ресурсы. Чтобы изменить разрешения NTFS, в области Действия щелкните Свойства, а затем на вкладке Разрешения нажмите кнопку Разрешения NTFS.
 | Примечание |
|
Для получения дополнительных сведений о разрешениях NTFS щелкните Дополнительные сведения об управлении доступом и разрешениях на странице свойств, которая открывается при нажатии кнопки Разрешения NTFS. |
Разрешения SMB
Управление доступом для общего ресурса на основе SMB определяется двумя наборами разрешений: разрешениями NTFS и разрешениями для общего ресурса. Разрешения для общего ресурса часто используются только для управления доступом на компьютерах, не использующих файловую систему NTFS.
Разрешения NTFS и разрешения для общего ресурса являются независимыми в том смысле, что они не изменяют друг друга, и к общему ресурсу применяются наиболее строгие из двух наборов разрешений.
Оснастка «Управление общими ресурсами и хранилищами» позволяет указать разрешения общего доступа для ресурсов на основе SMB следующими способами.
-
Новые общие ресурсы. Если в качестве протокола общего доступа выбран SMB, на странице мастера подготовки общих папок Разрешения SMB можно указать следующие разрешения доступа на основе SMB.
-
Все пользователи и группы имеют доступ только на чтение. Результирующим будет разрешение «Чтение» для группы «Все».
-
Администраторы имеют полный доступ; все остальные пользователи и группы имеют доступ только на чтение. Группа «Администраторы» имеет разрешение «Полный доступ», а группа «Все» - разрешение «Чтение».
-
Администраторы имеют полный доступ; все остальные пользователи и группы имеют доступ на чтение и на запись. Группа «Администраторы» имеет разрешение «Полный доступ», а группа «Все» - разрешения «Чтение» и «Запись».
-
Пользователи и группы имеют особые разрешения для общего ресурса. При использовании этого параметра необходимо указать каждую группу и каждого пользователя, которые будут иметь доступ к данному общему ресурсу, а затем разрешить или запретить для них определенные типы доступа к общему ресурсу («Полный доступ», «Изменение», «Чтение»).
-
Все пользователи и группы имеют доступ только на чтение. Результирующим будет разрешение «Чтение» для группы «Все».
-
Существующие общие ресурсы. Можно изменить разрешения для общей папки или тома в группе Протокол: SMB на вкладке Ресурсы. Чтобы изменить разрешения для общего ресурса, выберите папку или том, в области Действия щелкните Свойства, а затем на вкладке Разрешения нажмите кнопку Разрешения общего ресурса.
| Примечание |
|
Для получения дополнительных сведений о разрешениях общего доступа щелкните Дополнительные сведения об управлении доступом и разрешениях на странице свойств, которая открывается при нажатии кнопки Разрешения общего ресурса. |
Разрешения NFS
Управление доступом к общему ресурсу на основе NFS (Network File System) определяется с помощью сетевых имен и групп. Для использования разрешений NFS необходимо сначала установить службу роли «Службы для NFS» с помощью диспетчера сервера. После установки служб для NFS следует с помощью программы NFSAdmin.exe создать клиентские группы и добавить в них клиентские компьютеры, прежде чем настраивать разрешения для общего ресурса на основе NFS.
| Примечание |
|
Дополнительные сведения о параметрах проверки подлинности Kerberos см. на странице |
Затем с помощью оснастки «Управление общими ресурсами и хранилищами» можно указать разрешения общего доступа для ресурсов на основе NFS следующими способами.
-
Новые общие ресурсы. При выборе NFS в качестве протокола общего доступа в мастере подготовки общих папок доступна страница Разрешения NFS. Здесь можно задать управление доступом для определенного клиентского компьютера (узла) или клиентской группы. Чтобы настроить разрешения NFS для общего ресурса, можно выполнить следующие действия.
-
Добавление, изменение и удаление разрешений для клиентских групп и узлов. По умолчанию устанавливается доступ «Только чтение» для группы ВСЕ КОМПЬЮТЕРЫ. Можно добавить любую клиентскую группу или узел, созданные ранее (с помощью NFSAdmin.exe) и предоставить каждой группе или узлу соответствующие разрешения («Нет доступа», «Только чтение», «Чтение и запись»).
Кроме того, можно выбрать параметр Разрешить доступ с правами root для каждой клиентской группы и узла, однако делать это не рекомендуется из-за возникновения угрозы безопасности.
-
Укажите, следует ли разрешить анонимный доступ к общему ресурсу. Из соображений безопасности этот параметр по умолчанию отключен. Хотя анонимный доступ может быть полезен для устранения неполадок и в тестовой среде, широко применять его не рекомендуется.
Чтобы разрешить анонимный доступ, мастер подготовки общих папок изменяет разрешения NTFS для папки или тома, предоставляя доступ группе безопасности «Все».
При разрешении анонимного доступа включается также политика безопасности Разрешать применение разрешений для всех к анонимным пользователям, которая добавляет принцип «Анонимный вход» к группе безопасности «Все». Это дает возможность анонимным пользователям при переходе по пути к объекту открывать папки, к которым они иначе не имеют доступа. При этом таким пользователям не доступен перечень содержимого папок, доступ к которым не предоставлен.
Примечание Отключение анонимного доступа не приводит к отключению политики Разрешать применение разрешений для всех к анонимным пользователям.
-
Добавление, изменение и удаление разрешений для клиентских групп и узлов. По умолчанию устанавливается доступ «Только чтение» для группы ВСЕ КОМПЬЮТЕРЫ. Можно добавить любую клиентскую группу или узел, созданные ранее (с помощью NFSAdmin.exe) и предоставить каждой группе или узлу соответствующие разрешения («Нет доступа», «Только чтение», «Чтение и запись»).
-
Существующие общие ресурсы. Можно изменить разрешения NFS для общей папки или тома в группе Протокол: NFS на вкладке Ресурсы. Чтобы изменить разрешения для общего ресурса, выберите папку или том, в области Действия щелкните Свойства, а затем на вкладке Разрешения нажмите кнопку Разрешения NFS. Чтобы настроить разрешения, добавьте, измените или удалите разрешения для каждой отдельной клиентской группы или узла, для которых требуется настроить доступ.
Перечисление на основе доступа
Перечисление на основе доступа позволяет пользователям просматривать в общей папке SMB только те файлы и папки, доступ к которым им разрешен. Если у пользователя отсутствует разрешение на чтение для папки, Windows скрывает эту папку для данного пользователя. Это удобно, например, при использовании общих папок с большим количеством домашних каталогов пользователей.
 | Включение перечисления на основе доступа для общей папки |
В оснастке «Управление общими ресурсами и хранилищами» щелкните нужную общую папку правой кнопкой мыши и выберите команду Свойства.
На вкладке «Общий доступ» щелкните Дополнительно.
Установите флажок Включить перечисление на основе доступа и нажмите кнопку ОК.
Дополнительная информация
-
Предоставление пользователю разрешения NTFS «Полный доступ» для общего ресурса позволяет ему стать владельцем папки или тома, если соответствующее ограничение не установлено каким-либо другим способом. Соблюдайте осторожность, предоставляя полный доступ к папкам.
-
Если требуется управлять доступом к папке или тому только с помощью разрешений NTFS, установите для общего ресурса разрешение «Полный доступ». Это упрощает управление разрешениями для общего ресурса, но разрешения NTFS сложнее, чем разрешения для общего ресурса.
-
Разрешения NTFS определяют условия как локального, так и удаленного доступа. Разрешения NTFS применяются независимо от протокола. Разрешения для общего ресурса применяются, напротив, только к общим сетевым ресурсам. Разрешения для общего ресурса не ограничивают доступ локальным пользователям или пользователям сервера терминалов. Таким образом, разрешения для общего ресурса не обеспечивают секретности для пользователей на компьютере, используемом несколькими пользователями.
-
По умолчанию группа Все не включает группу Анонимный, поэтому разрешения, установленные для группы Все, не распространяются на группу Анонимный.
-
Нельзя изменить разрешения доступа к папкам и томам, открытым для общего доступа в целях администрирования, таким как C$ и ADMIN$.
-
Чтобы открыть оснастку «Управление общими ресурсами и хранилищами», нажмите кнопку Пуск, выделите пункт Администрирование, а затем выберите команду Управление общими ресурсами и хранилищами.