Uprawnienia do zasobu udostępnionego, takiego jak folder czy wolumin, są określane przy użyciu lokalnych uprawnień NTFS do tego zasobu oraz protokołu, według którego jest uzyskiwany dostęp do zasobu udostępnionego:

  • Protokół bloku komunikatów serwera (SMB, Server Message Block)

    Kontrola dostępu oparta na protokole SMB (w przypadku systemów plików systemu Windows) jest implementowana przez udzielanie uprawnień poszczególnym użytkownikom i grupom.

  • Protokół systemu plików NFS (Network File System)

    Kontrola dostępu oparta na protokole systemu plików NFS (w przypadku systemów plików systemu UNIX) jest implementowana przez udzielanie uprawnień określonym komputerom klienckim i grupom przy użyciu nazw sieciowych.

Ostateczne uprawnienia dostępu do zasobu udostępnionego są określane przez uwzględnienie uprawnień NTFS oraz uprawnień protokołu udostępniania, a następnie zastosowanie bardziej restrykcyjnych uprawnień. Jeśli w folderze udostępnionym opartym na protokole SMB zostanie włączone wyliczanie oparte na dostępie, system Windows ukryje pliki i foldery, w przypadku których użytkownik nie ma uprawnień do odczytu.

Można skonfigurować uprawnienia do zasobu udostępnionego oraz włączyć wyliczanie oparte na dostępie podczas tworzenia nowego folderu lub woluminu udostępnionego przy użyciu Kreatora obsługi folderu udostępnionego lub przez zaznaczenie istniejącego zasobu udostępnionego i kliknięcie pozycji Właściwości w okienku Akcje.

W tym temacie omówiono następujące zagadnienia:

Aby uzyskać informacje o Kreatorze obsługi folderu udostępnionego, zobacz temat Udostępnianie zasobu. Aby uzyskać informacje o konfigurowaniu właściwości istniejącego zasobu udostępnionego, zobacz temat Wyświetlanie i modyfikowanie właściwości folderów udostępnionych.

Uprawnienia NTFS

Lokalne uprawnienia NTFS do folderu lub woluminu udostępnionego można konfigurować przy użyciu przystawki Zarządzanie udziałami i magazynowaniem w następujący sposób:

  • Nowe zasoby udostępnione. Przed wybraniem protokołu odpowiedzialnego za udostępnianie w sieci w Kreatorze obsługi folderu udostępnionego można zmienić uprawnienia NTFS do folderu lub woluminu, który będzie udostępniany. Te uprawnienia NTFS będą stosowane lokalnie oraz przy uzyskiwaniu dostępu do zasobu za pośrednictwem sieci. Aby zmienić uprawnienia NTFS, na stronie Uprawnienia NTFS należy zaznaczyć opcję Tak, zmień uprawnienia systemu plików NTFS, a następnie kliknąć przycisk Edytuj uprawnienia.

  • Istniejące zasoby udostępnione. Użytkownik może zmienić uprawnienia NTFS do folderu lub woluminu udostępnionego wyświetlanego na karcie Udziały. Aby zmienić uprawnienia NTFS, należy zaznaczyć odpowiedni folder lub wolumin, w okienku Akcje kliknąć łącze Właściwości i na karcie Uprawnienia kliknąć przycisk Uprawnienia NTFS.

Uwaga

Więcej informacji o uprawnieniach NTFS można uzyskać, klikając łącze Dowiedz się o kontroli dostępu i uprawnieniach na stronie właściwości wyświetlanej po kliknięciu przycisku Uprawnienia NTFS.

Uprawnienia protokołu SMB

Kontrola dostępu do zasobu udostępnionego oparta na protokole SMB odbywa się za pośrednictwem dwóch zestawów uprawnień: uprawnień NTFS i uprawnień udziału. Uprawnienia udziału często służą tylko do kontrolowania dostępu na komputerach, które nie używają systemu plików NTFS.

Uprawnienia NTFS i uprawnienia udziału działają niezależnie, co oznacza, że nie zastępują się wzajemnie, a do zasobu udostępnionego jest stosowane uprawnienie bardziej restrykcyjne.

Uprawnienia udziału do zasobów udostępnionych opartych na protokole SMB można określać w przystawce Zarządzanie udziałami i magazynowaniem w następujący sposób:

  • Nowe zasoby udostępnione. Jeśli jako protokół udostępniania został wybrany protokół SMB, na stronie Uprawnienia protokołu SMB w Kreatorze obsługi folderu udostępnionego można określić następujące uprawnienia dostępu oparte na protokole SMB:

    • Wszyscy użytkownicy i grupy mają dostęp tylko do odczytu. Wynikowym uprawnieniem będzie uprawnienie Odczyt dla grupy Wszyscy.

    • Administratorzy mają pełną kontrolę; inni użytkownicy i grupy mają dostęp tylko do odczytu. Grupa Administratorzy będzie mieć uprawnienie Pełna kontrola, a grupie Wszyscy zostanie udzielone uprawnienie Odczyt.

    • Administratorzy mają pełną kontrolę; inni użytkownicy i grupy mają dostęp tylko do odczytu i zapisu. Grupa Administratorzy będzie mieć uprawnienie Pełna kontrola, a grupie Wszyscy zostaną udzielone uprawnienia Odczyt i Zapis.

    • Użytkownicy i grupy mają niestandardowe uprawnienia udziału. Aby można było użyć tej opcji, należy każdej istniejącej grupie i każdemu istniejącemu użytkownikowi zezwolić na dostęp do udziału oraz udzielić lub odmówić odpowiednich uprawnień udziału (Pełna kontrola, Zmiana lub Odczyt).

  • Istniejące zasoby udostępnione. Użytkownik może zmienić uprawnienia udziału do folderu lub woluminu udostępnionego wyświetlanego w obszarze Protokół: SMB na karcie Udziały. Aby zmienić uprawnienia udziału, należy zaznaczyć odpowiedni folder lub wolumin, w okienku Akcje kliknąć łącze Właściwości i na karcie Uprawnienia kliknąć przycisk Uprawnienia udziału.

Uwaga

Więcej informacji o uprawnieniach udziału można uzyskać, klikając łącze Dowiedz się o kontroli dostępu i uprawnieniach na stronie właściwości wyświetlanej po kliknięciu przycisku Uprawnienia udziału.

Uprawnienia systemu plików NFS

Kontrola dostępu do zasobu udostępnionego oparta na systemie plików NFS jest określana na podstawie nazw sieciowych i grup. Aby można było używać uprawnień systemu plików NFS, najpierw należy zainstalować usługę roli Usługi dla systemu plików NFS za pomocą Menedżera serwera. Po zainstalowaniu usługi roli Usługi dla systemu NFS należy za pomocą narzędzia NFSAdmin.exe utworzyć grupy i dodać do nich komputery klienckie przed skonfigurowaniem uprawnień udziału systemu NFS.

Uwaga

Aby uzyskać informacje na temat opcji uwierzytelniania protokołu Kerberos, zobacz stronę https://go.microsoft.com/fwlink/?LinkId=143906 (strona może zostać wyświetlona w języku angielskim). Aby uzyskać więcej informacji o usłudze roli Usługi dla systemu NFS oraz narzędziu NFSAdmin.exe, należy wyświetlić lokalną zawartość Pomocy dotyczącą tej usługi roli, wpisując w wierszu polecenia następujące polecenie: hh nfs__lh.chm (z dwoma podkreśleniami).

Uprawnienia udziału do zasobów udostępnionych opartych na systemie plików NFS można określać w przystawce Zarządzanie udziałami i magazynowaniem w następujący sposób:

  • Nowe zasoby udostępnione. W przypadku wybrania systemu plików NFS jako protokołu udziału w Kreatorze obsługi folderu udostępnionego jest dostępna strona Uprawnienia systemu plików NFS. Umożliwia ona określenie, czy dostęp ma być kontrolowany przy użyciu określonego komputera klienckiego (hosta) czy przez grupę klientów. Aby skonfigurować uprawnienia systemu plików NFS do zasobu udostępnionego, można wykonać następujące czynności:

    • Dodawanie, edytowanie lub usuwanie uprawnień dotyczących grup klientów i hostów. Domyślnym ustawieniem jest dostęp tylko do odczytu dla grupy WSZYSTKIE KOMPUTERY. Można dodać dowolną wcześniej utworzoną grupę klientów lub dowolnego wcześniej utworzonego hosta (przy użyciu narzędzia NFSAdmin.exe) oraz udzielić każdemu z nich odpowiednich uprawnień (brak dostępu, tylko do odczytu albo do odczytu i zapisu).

      Ponadto dla każdej grupy klientów i dla każdego hosta można wybrać opcję Zezwalaj na dostęp na poziomie administratora - nie jest to jednak zalecane, ponieważ może stać się przyczyną zagrożenia bezpieczeństwa.

    • Określanie, czy do zasobu udostępnionego ma być dozwolony dostęp anonimowy. Ze względów bezpieczeństwa to ustawienie nie jest domyślnie włączone. Chociaż dostęp anonimowy może być przydatny podczas rozwiązywania problemów lub w środowiskach testowych, nie jest zalecany w większości zastosowań.

      W celu zezwolenia na dostęp anonimowy Kreator obsługi folderu udostępnionego modyfikuje uprawnienia NTFS do folderu lub woluminu, aby udzielić dostępu grupie zabezpieczeń Wszyscy.

      Włączenie dostępu anonimowego powoduje również włączenie zasady zabezpieczeń Zezwalaj na stosowanie uprawnień Wszyscy do anonimowych użytkowników, umożliwiając w efekcie dodanie zasady Logowanie anonimowe do grupy zabezpieczeń Wszyscy. Pozwala to anonimowym użytkownikom na przeglądanie folderów, do których w przeciwnym wypadku nie mieliby dostępu, podczas nawigowania przy użyciu ścieżki obiektu w folderze udostępnionym. Nie pozwala to jednak użytkownikom na wyświetlanie zawartości folderu, do którego nie udzielono im dostępu.

      Uwaga

      Wyłączenie dostępu anonimowego nie powoduje wyłączenia zasady zabezpieczeń Zezwalaj na stosowanie uprawnień Wszyscy do anonimowych użytkowników.

  • Istniejące zasoby udostępnione. Użytkownik może zmienić uprawnienia systemu plików NFS do folderu lub woluminu udostępnionego wyświetlanego w obszarze Protokół: NFS na karcie Udziały. Aby zmienić uprawnienia udziału, należy kliknąć odpowiedni folder lub wolumin, w okienku Akcje kliknąć łącze Właściwości i na karcie Uprawnienia kliknąć przycisk Uprawnienia systemu plików NFS. Konfigurowanie uprawnień polega na dodawaniu, edytowaniu i usuwaniu uprawnień do poszczególnych grup klientów lub hostów, dla których ma zostać skonfigurowany dostęp.

Wyliczanie oparte na dostępie

Wyliczanie oparte na dostępie umożliwia użytkownikom wyświetlanie tylko tych plików i folderów w folderze udostępnionym opartym na protokole SMB, do których mają uprawnienia dostępu. Jeśli użytkownik nie ma uprawnień do odczytu dla folderu, system Windows ukrywa ten folder. Jest to użyteczne w przypadku folderów udostępnionych zawierających na przykład katalogi macierzyste wielu użytkowników.

Aby włączyć wyliczanie oparte na dostępie dla folderu udostępnionego
  1. W przystawce Zarządzanie udziałami i magazynowaniem kliknij prawym przyciskiem myszy odpowiedni folder udostępniony, a następnie kliknij polecenie Właściwości.

  2. Na karcie Udostępnianie kliknij przycisk Zaawansowane.

  3. Zaznacz pole wyboru Włącz wyliczanie oparte na dostępie, a następnie kliknij przycisk OK.

Uwagi dodatkowe

  • Udzielenie użytkownikowi uprawnienia NTFS Pełna kontrola do zasobu udostępnionego umożliwia użytkownikowi przejęcie na własność folderu lub woluminu, o ile użytkownik nie jest zablokowany w inny sposób. Uprawnienia Pełna kontrola należy udzielać ostrożnie.

  • Aby zarządzać dostępem do folderu i woluminu za pomocą uprawnień NTFS na wyłączność, należy dla grupy Wszyscy ustawić uprawnienie udziału Pełna kontrola. Ułatwia to zarządzanie uprawnieniami udziału, lecz uprawnienia NTFS są od nich bardziej złożone.

  • Uprawnienia NTFS mają wpływ na dostęp lokalny i zdalny. Uprawnienia NTFS obowiązują niezależnie od protokołu. Natomiast uprawnienia udziału dotyczą tylko udostępnionych udziałów sieciowych. Uprawnienia udziału nie ograniczają dostępu żadnemu użytkownikowi lokalnemu ani użytkownikowi serwera terminali. Dlatego uprawnienia udziału nie zapewniają prywatności użytkownikom komputera wielodostępnego.

  • Domyślnie do grupy Wszyscy nie należy grupa użytkowników Logowanie anonimowe, więc uprawnienia udzielone grupie Wszyscy nie mają wpływu na grupę Logowanie anonimowe.

  • Nie można modyfikować uprawnień dostępu do folderów lub woluminów udostępnionych w celach administracyjnych, takich jak C$ i ADMIN$.

  • Aby otworzyć przystawkę Zarządzanie udziałami i magazynowaniem, kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne, a następnie kliknij polecenie Zarządzanie udziałami i magazynowaniem.

Dodatkowe informacje