Oprávnění pro sdílený prostředek, například složku nebo svazek, jsou určena místními oprávněními systému NTFS pro daný prostředek a protokolem používaným pro přístup ke sdílenému prostředku:
-
Protokol SMB (Server Message Block)
Řízení přístupu SMB (pro systémy souborů systému Windows) je implementováno prostřednictvím udělení oprávnění jednotlivým uživatelům a skupinám.
-
Protokol systému NFS (Network File System)
Řízení přístupu NFS (pro systém souborů systému UNIX) je implementováno prostřednictvím udělení oprávnění konkrétním klientským počítačům a skupinám pomocí názvů v síti.
Konečná přístupová oprávnění pro sdílený prostředek jsou určena zvážením oprávnění NTFS a oprávnění protokolu sdílení a následným použitím více omezujících oprávnění. Pokud u sdílené složky založené na protokolu SMB povolíte výčet na základě úrovně přístupu, Windows skryje soubory a složky, ke kterým uživatelé nemají oprávnění pro čtení.
Oprávnění pro sdílený prostředek můžete konfigurovat (a zároveň povolit výčet na základě úrovně přístupu) při vytvoření nové sdílené složky nebo svazku pomocí Průvodce zajištěním sdílené složky nebo vybráním existujícího sdíleného prostředku a kliknutím na možnost Vlastnosti v podokně Akce.
Toto téma se zabývá následujícími okruhy:
Informace o použití Průvodce zajištěním sdílené složky naleznete v tématu Sdílení prostředku. Informace o konfiguraci vlastností existujícího sdíleného prostředku naleznete v tématu Zobrazení a úprava vlastností sdílené složky.
Oprávnění systému NTFS
Místní oprávnění systému NTFS pro sdílenou složku nebo svazek můžete konfigurovat pomocí modulu Správa sdílených složek a úložišť následujícími způsoby:
-
Nové sdílené prostředky. Dříve než v Průvodci zajištěním sdílené složky vyberete protokol sdílení sítě, můžete změnit oprávnění systému NTFS pro složku nebo svazek, který budete sdílet. Tato oprávnění NTFS budou použita místně i při přistupování k prostředku v síti. Chcete-li změnit oprávnění systému NTFS, klikněte na stránce Oprávnění NTFS na přepínač Ano, změnit oprávnění NTFS a potom klikněte na tlačítko Upravit oprávnění.
-
Existující sdílené prostředky. Oprávnění NTFS můžete změnit pro sdílenou složku nebo svazek uvedený v seznamu na kartě Sdílené složky. Chcete-li změnit oprávnění NTFS, vyberte složku nebo svazek, v podokně Akce klikněte na možnost Vlastnosti a na kartě Oprávnění klikněte na možnost Oprávnění NTFS.
 | Poznámka |
|
Chcete-li získat další informace o oprávněních NTFS, klikněte na stránce vlastností, která se otevře po kliknutí na možnost Oprávnění NTFS, na odkaz Další informace o řízení přístupu a oprávnění. |
Oprávnění SMB
Řízení přístupu SMB pro sdílený prostředek je určováno dvěma sadami oprávnění: Oprávněními NTFS a oprávněními ke sdílení. Oprávnění ke sdílení se často používají pouze pro řízení přístupu v počítačích, které nepoužívají systém souborů NTFS.
Oprávnění NTFS a oprávnění ke sdílení jsou na sobě nezávislá, změna v jednom se neodráží v druhém a pro sdílený prostředek bude použito to, které je více omezující.
Pomocí modulu Správa sdílených složek a úložišt můžete specifikovat oprávnění ke sdílení pro sdílené prostředky SMB následujícími způsoby:
-
Nové sdílené prostředky. Pokud v Průvodci zajištěním sdílené složky vyberete jako protokol sdílení protokol SMB, můžete na stránce Oprávnění SMB specifikovat následující oprávnění pro přístup SMB:
-
Všichni uživatelé a skupiny mají jen přístup ke čtení. Výsledné oprávnění bude Číst pro skupinu Everyone.
-
Správci mají úplné řízení; všichni ostatní uživatelé a skupiny mají jen přístup ke čtení. Skupina Administrators má oprávnění pro úplné řízení, skupině Everyone je uděleno oprávnění pro čtení.
-
Správci mají úplné řízení; všichni ostatní uživatelé a skupiny mají jen přístup ke čtení a zápisu. Skupina Administrators má oprávnění pro úplné řízení, skupině Everyone jsou udělena oprávnění pro čtení a zápis.
-
Uživatelé a skupiny mají vlastní oprávnění ke sdílení. Chcete-li použít tento přepínač, musíte určit každou skupinu a uživatele, který má mít sdílený přístup, a také konkrétní oprávnění pro sdílení (Úplné řízení, Měnit, Číst), které má být uděleno nebo odepřeno.
-
Všichni uživatelé a skupiny mají jen přístup ke čtení. Výsledné oprávnění bude Číst pro skupinu Everyone.
-
Existující sdílené prostředky. Můžete změnit oprávnění ke sdílení pro sdílenou složku nebo svazek uvedený v seznamu Protokol: SMB na kartě Sdílené složky. Chcete-li změnit oprávnění ke sdílení, vyberte složku nebo svazek, v podokně Akce klikněte na možnost Vlastnosti a na kartě Oprávnění klikněte na možnost Oprávnění ke sdílení.
| Poznámka |
|
Chcete-li získat další informace o oprávnění ke sdílení, klikněte na stránce vlastností, která se otevře po kliknutí na možnost Oprávnění ke sdílení, na odkaz Další informace o řízení přístupu a oprávnění. |
Oprávnění NFS
Řízení přístupu NFS pro sdílený prostředek je určováno na základě síťových názvů a skupin. Chcete-li použít oprávnění NFS, musíte nejprve pomocí Správce serveru nainstalovat službu role Služba pro systém souborů NFS. Jakmile nainstalujete Službu pro systém souborů NFS, použijte soubor NFSAdmin.exe k vytvoření skupin klientů a k přidání klientských počítačů do těchto skupin dříve, než budete konfigurovat oprávnění ke sdílení NFS.
| Poznámka |
|
Informace o možnostech ověřování pomocí protokolu Kerberos naleznete na webu |
Pomocí modulu Správa sdílených složek a úložišť můžete specifikovat oprávnění ke sdílení pro sdílené prostředky NFS následujícími způsoby:
-
Nové sdílené prostředky. Pokud v Průvodci zajištěním sdílené složky vyberete jako protokol sdílení protokol NFS, bude v průvodci k dispozici stránka Oprávnění NFS. Určete, zda má být přístup řízen konkrétním klientským počítačem (hostitelem) nebo skupinou klientů. Chcete-li nastavit oprávnění NFS pro sdílený prostředek, můžete provést následující akci:
-
Přidat, upravit nebo odebrat oprávnění pro skupiny klientů a hostitele. Výchozím nastavením je přístup pouze pro čtení pro skupinu VŠECHNY POČÍTAČE. Můžete přidat libovolnou skupinu klientů nebo hostitele, který byl dříve vytvořen (pomocí souboru NFSAdmin.exe), a udělit každému příslušná oprávnění (žádný přístup, pouze pro čtení, čtení i zápis).
Můžete také použít zaškrtávací políčko Povolit přístup uživatele root pro každou skupinu uživatelů a hostitele. Tuto možnost však nedoporučujeme, protože může z hlediska zabezpečení představovat určité riziko.
-
Určete, zda chcete povolit anonymní přístup ke sdílenému prostředku. Tato možnost není z důvodů zabezpečení ve výchozím nastavení povolena. Ačkoli může být anonymní přístup užitečný při odstraňování potíží nebo v testovacích prostředích, nedoporučujeme jej pro obecné použití.
Chcete-li povolit anonymní přístup, upraví Průvodce zajištěním sdílené složky oprávnění NTFS pro složku nebo svazek, aby mohl být udělen přístup skupině zabezpečení Everyone.
Povolením anonymního přístupu bude povolena také zásada zabezpečení Udělit anonymním uživatelům oprávnění skupiny Everyone, čímž bude efektivně přidán princip Anonymous Logon do skupiny zabezpečení Everyone. Anonymním uživatelům je tak umožněno procházet složky, ke kterým by jinak neměli při navigaci cesty k objektu ve sdílené složce přístup, uživateli však není povoleno zobrazit obsah složky, ke které mu nebyl udělen přístup.
Poznámka Zakázáním anonymního přístupu nebude zakázána zásada zabezpečení Udělit anonymním uživatelům oprávnění skupiny Everyone.
-
Přidat, upravit nebo odebrat oprávnění pro skupiny klientů a hostitele. Výchozím nastavením je přístup pouze pro čtení pro skupinu VŠECHNY POČÍTAČE. Můžete přidat libovolnou skupinu klientů nebo hostitele, který byl dříve vytvořen (pomocí souboru NFSAdmin.exe), a udělit každému příslušná oprávnění (žádný přístup, pouze pro čtení, čtení i zápis).
-
Existující sdílené prostředky. Můžete změnit oprávnění NFS pro sdílenou složku nebo svazek uvedený v seznamu Protokol: NFS na kartě Sdílené složky. Chcete-li změnit oprávnění ke sdílení, klikněte na složku nebo svazek, v podokně Akce klikněte na možnost Vlastnosti a na kartě Oprávnění klikněte na možnost Oprávnění NFS. Chcete-li konfigurovat oprávnění, přidejte, upravte nebo odeberte oprávnění pro každou jednotlivou skupinu klientů nebo hostitele, pro kterého chcete přístup konfigurovat.
Výčet na základě přístupu
Výčet na základě úrovně přístupu umožňuje uživatelům zobrazit ve sdílené složce založené na protokolu SMB pouze soubory a složky, ke kterým mají oprávnění k přístupu. Pokud uživatel nemá oprávnění ke čtení určité složky, Windows ji skryje z jeho zobrazení. Je to například užitečné pro sdílené složky obsahující domovské adresáře mnoha uživatelů.
 | Povolení výčtu na základě úrovně přístupu u sdílené složky |
V modulu Správa sdílených složek a úložišť klikněte pravým tlačítkem myši na příslušnou sdílenou složku a potom klikněte na příkaz Vlastnosti.
Na kartě Sdílení klikněte na tlačítko Upřesnit.
Zaškrtněte políčko Povolit výčet založený na úrovni přístupu a klikněte na tlačítko OK.
Další požadavky
-
Pokud přidělíte uživateli oprávnění systému NTFS k úplnému řízení pro sdílený prostředek, umožníte mu tak převzít vlastnictví této složky nebo svazku za předpokladu, že není tato možnost omezena jiným způsobem. Při přidělování oprávnění k úplnému řízení je třeba opatrnosti.
-
Pokud chcete spravovat přístup ke složkám a svazkům výlučně s použitím oprávnění systému NTFS, nastavte oprávnění ke sdílení pro skupinu Everyone na možnost Úplné řízení. Zjednodušíte tak správu oprávnění ke sdílení, oprávnění NTFS jsou však složitější než oprávnění ke sdílení.
-
Oprávnění NTFS mají vliv na místní i vzdálený přístup. Oprávnění systému NTFS jsou použita bez ohledu na protokol. Oprávnění ke sdílení se naopak vztahují pouze na sdílené síťové prostředky. Oprávnění ke sdílení neomezují přístup žádného místního uživatele nebo uživatele terminálového serveru. Oprávnění ke sdílení neposkytují ochranu osobních údajů uživatelů v počítači, který je používán více uživateli.
-
Ve výchozím nastavení v sobě skupina Everyone nezahrnuje skupinu Anonymous, takže oprávnění přidělená skupině Everyone neovlivňují i skupinu Anonymous.
-
Oprávnění přístupu ke složkám nebo svazkům, které jsou sdíleny pro účely správy (např. C$ a ADMIN$), nelze upravovat.
-
Chcete-li spustit modul Správa sdílených složek a úložišť, klikněte na tlačítko Start, přejděte na příkaz Nástroje pro správu a potom klikněte na položku Správa sdílených složek a úložišť.