As permissões em um recurso compartilhado, como uma pasta ou volume, são determinadas pelas permissões locais de NTFS para esse recurso e pelo protocolo usado para o acesso ao recurso compartilhado:
-
Protocolo SMB
O controle de acesso com base em SMB (para sistemas de arquivos com base no Windows) é implementado com a concessão de permissões para usuários e grupos individuais.
-
Protocolo NFS
O controle de acesso com base em NFS (para sistemas de arquivos com base no UNIX) é implementado com a concessão de permissões para computadores cliente e grupos específicos, com o uso de nomes de rede.
As permissões de acesso finais para um recurso compartilhado são determinadas com a consideração das permissões NTFS e as permissões de protocolo de compartilhamento, e depois com a aplicação de permissões mais restritivas. Se você habilitou a enumeração baseada em acesso em uma pasta compartilhada baseada em SMB, o Windows ocultará os arquivos e pastas para os quais os usuários não possuem permissões de leitura.
Você pode configurar permissões e habilitar a enumeração baseada em acesso para um recurso compartilhado quando criar uma nova pasta ou volume compartilhado usando o Assistente para Provisionamento de uma Pasta Compartilhada ou selecionando um recurso compartilhado existente e clicando em Propriedades no painel Ações.
Este tópico discute os seguintes assuntos:
Para obter informações sobre como usar o Assistente para Provisionamento de uma Pasta Compartilhada, consulte Compartilhar um recurso. Para obter informações sobre como configurar propriedades para um recurso compartilhado existente, consulte Exibir e modificar propriedades de pasta compartilhada.
Permissões de NTFS
Você pode configurar as permissões locais de NTFS para uma pasta ou volume compartilhado usando o Gerenciamento de Compartilhamento e Armazenamento das seguintes maneiras:
-
Novos recursos compartilhados. No Assistente para Provisionamento de uma Pasta Compartilhada, antes de selecionar um protocolo de compartilhamento de rede, você poderá alterar as permissões de NTFS para a pasta ou volume que estiver compartilhando. Essas permissões de NTFS serão aplicadas localmente e durante o acesso ao recurso na rede. Para alterar as permissões de NTFS na página Permissões de NTFS, selecione Sim, alterar permissões de NTFS e clique em Editar Permissões.
-
Recursos compartilhados existentes. Você pode alterar as permissões NTFS de uma pasta ou volume compartilhado listado na guia Compartilhamentos. Para alterar as permissões de NTFS, selecione a pasta ou volume, no painel Ações clique em Propriedades e, na guia Permissões, clique em Permissões de NTFS.
Observação | |
Para obter mais informações sobre as permissões de NTFS, clique em Obter informações sobre controle e permissões de acesso na página de propriedades aberta quando você clica em Permissões de NTFS. |
Permissões de SMB
O controle de acesso com base em SMB para um recurso compartilhado é determinado por meio de dois conjuntos de permissões: as permissões de NTFS e as permissões de compartilhamento. As permissões de compartilhamento frequentemente são usadas apenas para controlar o acesso em computadores que não utilizam o sistema de arquivos NTFS.
As permissões de NTFS e as permissões de compartilhamento são independentes no sentido de que uma não altera a outra e o mais restritivo desses dois tipos de permissão será aplicado ao recurso compartilhado.
Com o Gerenciamento de Compartilhamento e Armazenamento, você pode especificar permissões de compartilhamento para recursos compartilhados com base em SMB das seguintes formas:
-
Novos recursos compartilhados. No Assistente para Provisionamento d uma Pasta Compartilhada, se você selecionar SMB como protocolo de compartilhamento, poderá especificar as seguintes permissões de SMB com base na página Permissões de SMB:
-
Todos os usuários e grupos só têm acesso de Leitura. A permissão resultante será leitura para o grupo Todos.
-
Administradores têm Controle Total; todos os outros usuários e grupos têm acesso de Leitura. O grupo Administradores terá permissão de Controle Total, enquanto o grupo Todos receberá a permissão de Leitura.
-
Administradores têm Controle Total; todos os outros usuários e grupos só têm acesso de Leitura e Gravação. O grupo Administradores terá permissão de Controle Total, enquanto o grupo Todos receberá permissões de leitura e Gravação.
-
Usuários e grupos têm permissões de compartilhamento personalizadas. Para usar essa opção, você deve especificar cada grupo e usuário que terá acesso de compartilhamento, bem como permissões de compartilhamento específicas (Controle Total, Alterar, Leitura) a serem concedidas ou negadas a cada uma.
-
Todos os usuários e grupos só têm acesso de Leitura. A permissão resultante será leitura para o grupo Todos.
-
Recursos compartilhados existentes. Você pode alterar as permissões de compartilhamento de uma pasta compartilhada ou volume listado em Protocolo: SMB na guia Compartilhamentos. Para alterar as permissões de compartilhamento, selecione a pasta ou o volume, no painel Ações clique em Propriedades e, na guia Permissões, clique em Permissões de Compartilhamento.
Observação | |
Para obter mais informações sobre permissões de compartilhamento de acesso, clique em Obter informações sobre controle e permissões de acesso na página de propriedade aberta quando você clica em Permissões de Compartilhamento. |
Permissões de NFS
O controle de acesso com base no NFS para um recurso compartilhado é determinado a partir dos nomes e grupos de rede. Para usar permissões de NFS, primeiro é necessário instalar o serviço de função NFS usando o Gerenciador de Servidores. Após instalar os Serviços de NFS, use NFSAdmin.exe para criar grupos cliente e adicionar computadores cliente a esses grupos antes de configurar permissões de compartilhamento NFS.
Observação | |
Para obter mais informações sobre as opções de autenticação Kerberos, consulte |
Com o Gerenciamento de Compartilhamento e Armazenamento, você pode especificar permissões de compartilhamento para recursos compartilhados do NFS das seguintes formas:
-
Novos recursos compartilhados. No Assistente para Provisionamento de uma Pasta Compartilhada, if se você selecionar o NFS como protocolo de compartilhamento, a página Permissões de NFS ficará disponível no assistente. Especifique se o acesso deverá ser controlado por um computador cliente específico (host) ou por um grupo de clientes. Para configurar as permissões de NFS em um recurso compartilhado, siga este procedimento:
-
Adicione, edite ou remova as permissões para grupos e hosts de clientes. O padrão é o acesso somente leitura para o grupo TODAS AS MÁQUINAS. Você pode adicionar qualquer grupo de clientes ou host que tenha sido criado anteriormente (usando NFSAdmin.exe) e conceder as permissões apropriadas a cada item (sem acesso, somente leitura, leitura e gravação).
Além disso, você pode selecionar a opção Permitir acesso à raiz para cada grupo de clientes e host — no entanto, isso não é recomendável porque representa um risco à segurança.
-
Especifique se deseja permitir o acesso anônimo ao recurso compartilhado. Por motivos de segurança, essa opção não é habilitada por padrão. Embora o acesso anônimo possa ser útil para solucionar problemas ou em ambientes de teste, ele não é recomendável para o uso geral.
Para permitir o acesso anônimo, o Assistente de Provisionamento de uma Pasta Compartilhada modifica as permissões NTFS na pasta ou volume para conceder acesso ao grupo de segurança Todos.
A habilitação do acesso anônimo também habilita a diretiva de segurança Deixar que as permissões de Todos os usuários sejam aplicadas a usuários anônimos, que efetivamente adiciona o princípio de Logon Anônimo ao grupo de segurança Todos. Isso permite que os usuários anônimos passem por pastas às quais não teriam acesso durante a navegação de um caminho de objeto na pasta de compartilhamento — embora não permita que o usuário liste o conteúdo de nenhuma pasta para a qual não tenha sido concedido acesso.
Observação A desabilitação do acesso anônimo não desabilitar a diretiva de segurança Deixar que as permissões de Todos os usuários sejam aplicadas a usuários anônimos.
-
Adicione, edite ou remova as permissões para grupos e hosts de clientes. O padrão é o acesso somente leitura para o grupo TODAS AS MÁQUINAS. Você pode adicionar qualquer grupo de clientes ou host que tenha sido criado anteriormente (usando NFSAdmin.exe) e conceder as permissões apropriadas a cada item (sem acesso, somente leitura, leitura e gravação).
-
Recursos compartilhados existentes. Você pode alterar as permissões de NFS existentes de uma pasta ou volume compartilhado listado em Protocolo: NFS na guia Compartilhamentos. Para alterar as permissões de compartilhamento, clique na pasta ou volume, no painel Ações clique em Propriedades e, na guia Permissões, clique em Permissões de NFS. Para configurar permissões, adicione, edite ou remova permissões de cada grupo de clientes ou host individual cujo acesso você deseja configurar.
Enumeração baseada em acesso
A enumeração baseada em acesso permite que os usuários vejam somente os arquivos e pastas de uma pasta compartilhada baseada em SMB aos quais possuem permissão de acesso. Se um usuário não tiver permissões de leitura para aquela pasta, o Windows ocultará a pasta da exibição do usuário. Isso é útil para pastas compartilhadas que contêm muitos diretórios base de usuários, por exemplo.
Para habilitar a enumeração baseada em acesso em uma pasta compartilhada |
No Gerenciamento de Compartilhamento e Armazenamento, clique com o botão direito do mouse na pasta compartilhada apropriada e clique em Propriedades.
Na guia Compartilhamento, clique em Avançado.
Marque a caixa de seleção Habilitar enumeração baseada em acesso e clique em OK.
Considerações adicionais
-
A concessão de uma permissão NTFS Controle Total a um usuário em um recurso compartilhado permite que esse usuário assuma a propriedade da pasta ou volume, a menos que o usuário tenha alguma restrição. Tome cuidado ao conceder a permissão Controle total.
-
Para gerenciar o acesso à pasta e ao volume usando exclusivamente as permissões de NTFS, defina as permissões de compartilhamento como Controle Total para Todos. Isso simplifica o gerenciamento das permissões de compartilhamento, mas as permissões de NTFS são mais complexas do que as de compartilhamento.
-
As permissões de NTFS afetam o acesso local e remoto. Elas são aplicadas, independentemente do protocolo. As permissões de compartilhamento, em contrapartida, aplicam-se apenas aos recursos de rede compartilhados. Essas permissões não restringem o acesso de nenhum usuário local ou usuário de servidor de terminal. Assim, as permissões de compartilhamento não oferecem privacidade entre os usuários em um computador utilizado por vários usuários.
-
Por padrão, o grupo Todos não inclui o grupo Anônimo, portanto, as permissões aplicadas ao grupo Todos não afetam o grupo Anônimo.
-
Não é possível modificar as permissões de acesso de pastas ou volumes compartilhados para fins administrativos, como C$ e ADMIN$.
-
Para abrir o Gerenciamento de Compartilhamento e Armazenamento, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Gerenciamento de Compartilhamento e Armazenamento.