Praca z systemem plików NT

W celu ułatwienia pracy użytkownikom przyzwyczajonym do systemów Windows 9x, które nie obsługują dysków sformatowanych w systemie plików NT, interfejs nowego systemu firmy Microsoft ukrywa przed użytkownikami nowe możliwości zarządzania plikami i folderami. Aby móc w pełni korzystać z możliwości oferowanych przez system NTFS, trzeba zmienić domyślne ustawienia systemu Windows XP. W tym celu:

1. Z menu Start wybierz opcje Panel sterowania.



2. Kliknij ikonę Wygląd i kompozycje, a następnie kliknij ikonę Opcje folderów.



3. Na karcie Widok w obszarze Ustawienia zaawansowane wyczyść pole wyboru Użyj prostego udostępniania plików [zalecane].



4. Kliknij przycisk OK i zamknij Panel sterowania.

Aby w pełni wykorzystać możliwości związane z przechowywaniem danych na dyskach NTFS, należy zmienić  domyślne opcje folderów

Tworzenie plików i folderów

Każdy plik i folder przechowywany na dysku NTFS jest własnością jakiegoś użytkownika. W większości przypadków właścicielem obiektu jest ten użytkownik, który go utworzył, ale możliwe jest przekazanie prawa własności innemu użytkownikowi.

Jeżeli tylko posiadamy odpowiednie uprawnienia, utworzenie pliku lub folderu na dysku NTFS niczym nie będzie się różnił od utworzenia tych obiektów na dyskach FAT. Prawa dostępu mogą być nadawane dla całego dysku, wybranego folderu, a nawet pojedynczego pliku.

Lista praw dostępu

Po zmianie domyślnego widoku folderów, po kliknięciu prawym przyciskiem na dowolnym dysku sformatowanym w systemie plików NT, lub folderze czy pliku przechowanym na dysku NTFS, z menu kontekstowego będzie dostępna zakładka Zabezpieczenia. Po jej wybraniu w górnej części okna zobaczymy listę grup i użytkowników, w dolnej — listę uprawnień nadanych lub odebranych danej grupie lub użytkownikowi.

Dobrą praktyką jest ograniczanie dostępu użytkownikom do dysku, na którym zainstalowany jest system operacyjny

W rzeczywistości na liście uprawnień znajdują się nie pojedyncze uprawnienia do dysku, pliku czy folderu, ale grupy uprawnień mające ułatwić zarządzanie dostępem do danych. Nadanie każdego z uprawnień wymienionych na liście spowoduje umożliwienie wybranemu użytkownikowi lub grupie użytkowników wykonania pewnych operacji. Pełna lista uprawnień specjalnych składających się na poszczególne uprawnienia znajduje się w tabeli.

Tabela: Lista uprawnień i odpowiadających im praw do wykona określonych czynności

Nadawanie i odbieranie uprawnień

Istnieje ogromna różnica pomiędzy jawnym odebraniem jakiegoś uprawnienia (na przykład uprawnienia do odczytu) pewnej grupie użytkowników, a nie nadaniem tej grupie żadnych uprawnień. Związane jest to z tym, że jeden i ten sam użytkownik może być członkiem dowolnie wielu grup użytkowników oraz z tym, że odebranie uprawnień (nadanie prawa Odmów) jest priorytetowe i spowoduje unieważnienie nadanego prawa Zezwalaj. Jest to jedyny wyjątek od uniwersalnej reguły, na mocy której: Uprawnienia się kumulują. Jeżeli ten sam użytkownik jest członkiem trzech grup, z których jedna ma nadane prawo do odczytu pliku, druga — do zapisu, a trzecia nie ma nadanych żadnych praw, wynikowymi prawami użytkownika będą prawa do odczytu i zapisu pliku.

Kopiowanie plików i folderów

Aby skopiować plik lub folder, musimy posiadać co najmniej prawo odczytu do obiektu źródłowego i zapisu do folderu docelowego. Ponieważ wszystkie obiekty zarówno pliki, jak foldery, „dziedziczą” uprawnienia od folderu nadrzędnego (lub dysku w przypadku folderów głównych), to podczas kopiowania i przenoszenia obiektów uprawnienia te mogą ulec zmianie. Innymi słowy, po skopiowaniu pliku z folderu Tajne i Poufne, do którego jedynie my mieliśmy uprawnienia do odczytu do folderu Publiczne, do którego wszyscy mają pełny dostęp, wszyscy użytkownicy będą mogli odczytywać, modyfikować a nawet skasować nasz plik. Kopiowane lub przenoszone pliki i foldery dziedziczą uprawnienia folderu lub dysku docelowego. Jedynym wyjątkiem jest przeniesienie obiektów w obrębie tego samego dysku logicznego. W takim przypadku przeniesiony obiekt zachowa początkowe uprawnienia.

Inspekcja dostępu do danych

Dane przechowywane na dyskach NTFS nie tylko mogą być chronione przed niepowołanymi osobami — możemy również monitorować zarówno udane, jak i nieudane, próby dostępu do tych danych. W tym celu, przede wszystkim musimy włączyć domyślnie wyłączony Dziennik inspekcji dostępu do obiektów:

1. Uruchom menu Start | Wszystkie programy | Narzędzia administracyjne | Zasady zabezpieczeń lokalnych.



2. Jeżeli zarówno w menu Start, jak i w Start | Wszystkie programy, nie znajduje się ikona narzędzi administracyjnych:

• Kliknij prawym przyciskiem na menu Start i z menu kontekstowego wybierz opcje Właściwości



• Wybierz Menu Start | Dostosuj | Zaawansowane.



• Na liście Elementy menu Start znajdź pozycję Systemowe narzędzia administracyjne i zaznacz opcję Wyświetl w menu Wszystkie programy.

3. Rozwiń folder Zasady lokalne i wybierz opcję Zasady inspekcji.



4. Dwukrotnie kliknij zasadę Przeprowadź inspekcję dostępu do obiektów.



5. Zostanie wyświetlone okno pokazane na rysunku poniżej.



6. Zaznacz opcje Sukces oraz Niepowodzenie.



7. Naciśnij klawisz OK i zamknij okno konsoli Zasady zabezpieczeń lokalnych.

Przed określeniem folderów, do których dostęp będziemy monitorować musimy włączyć inspekcję dostępu do obiektów

Teraz możemy określić folder, do którego dostąp będziemy monitorować. Określimy też, jakie czynności (np. zapis, modyfikacja, odczyt) i których użytkowników będziemy monitorować.

W tym celu:

1. Zaznacz wybrany folder (na przykład folder Moje dokumenty).



2. Kolejno wybierz Właściwości | Zabezpieczenia | Zaawansowane | Inspekcja.



3. Naciśnij przycisk Dodaj i wskaż grupy lub użytkowników poddanych inspekcji.



4. W oknie dialogowym Wpis inspekcji zaznacz te czynności, które powinny być monitorowane dla wybranej grupy lub użytkownika.

Tak dokładna inspekcja, polegająca na monitorowaniu każdej czynności dowolnego użytkownika, może negatywnie wpłynąć na wydajność systemu

5. Dwukrotnie naciśnij przycisk OK zamykając oba okna właściwości folderu.

 

Od tej chwili zarówno udane, jak i nieudane, próby zmodyfikowania zawartości folderu Moje dokumenty będą zapisywane w Dzienniku zabezpieczeń. Aby przejrzeć wpisy w tym dzienniku:

1. Uruchom menu Start | Wszystkie programy | Narzędzia administracyjne | Podgląd zdarzeń.



2. Wybierz Dziennik Zabezpieczenia.



3. W oknie po prawej stronie zostanie wyświetlona lista zarejestrowanych zdarzeń.



4. Jeżeli chcesz poznać więcej szczegółów o konkretnym zdarzeniu kliknij na nim dwukrotnie lewym przyciskiem myszki.

W dzienniku zdarzeń zanotowana została udana próba dostępu do pliku szablon.doc znajdującego się w podfolderze monitorowanego folderu