JAK: Konfigurowanie systemu plików do bezpiecznego dostępu w systemie Windows 2000

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 300691 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Ten artykuł został opublikowany wcześniej pod numerem PL300691
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

Streszczenie

Zabezpieczanie systemu plików na poziomie podstawowym zaczyna się od wyboru właściwego systemu plików. System operacyjny Windows 2000 może obsługiwać trzy systemy plików: NTFS, FAT32 i FAT.

Zaleca się korzystanie z systemu NTFS z uwagi na jego zalety związane z niezawodnością i bezpieczeństwem oraz dlatego, że jest niezbędny do obsługi dużych dysków. Systemy FAT i FAT32 są do siebie podobne. System FAT32 jest przeznaczony do większych dysków, niż system FAT. System NTFS zawsze dysponował większymi możliwościami niż systemy FAT i FAT32. W systemie operacyjnym Windows 2000 Server zastosowano nową wersję systemu plików NTFS, charakteryzującą się wieloma ważnymi funkcjami zabezpieczeń, takimi jak:
  • Uprawnienia, które można przydzielić do poszczególnych plików, a nie tylko do folderów.
  • Szyfrowanie plików, znacznie zwiększające poziom bezpieczeństwa.
  • Usługa Active Directory, którą można wykorzystać do łatwego przeglądania i kontrolowania zasobów sieciowych.
  • Domeny, które są częścią usługi Active Directory i które można wykorzystać do dokładnego skonfigurowania opcji zabezpieczeń przy zachowaniu prostoty zadań administracyjnych. Kontrolery domen wymagają systemu plików NTFS.
  • Rejestrowanie aktywności dysku w celu umożliwienia odzyskania jego zawartości. Upraszcza ono proces odtwarzania informacji w przypadku awarii zasilania lub innej awarii systemu.
  • Limity przydziału, które można wykorzystać do monitorowania i administrowania wielkościami obszarów dyskowych użytkowanych przez poszczególnych użytkowników.
  • Uproszczona rozbudowa do dużych dysków. Maksymalna wielkość dysku sformatowanego w systemie NTFS jest dużo większa, niż w systemie FAT. Wydajność dysku NTFS w miarę wzrostu pojemności nie maleje, jak w przypadku dysków FAT.
W przypadku używania systemu FAT można skorzystać z narzędzia Convert, dostarczanego z systemem Windows 2000 do zmiany systemu plików na NTFS. Aby uzyskać więcej informacji na temat narzędzia Convert, kliknij numer artykułu poniżej w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
214579 How to Use Convert.exe to Convert a Partition to NTFS
W przypadku korzystania z systemu NTFS w celu zabezpieczenia danych można skorzystać z uprawnień do folderów i plików. System Windows 2000 umożliwia obszerną kontrolę każdego pliku i folderu na dysku. Można także skorzystać z technologii szyfrowania plików (EFS, Encrypting File System), dzięki której każdy użytkownik może szyfrować pliki, aby nie były odczytywane przez innych. Więcej informacji na temat EFS można znaleźć w Pomocy systemu Windows.

Modyfikowanie uprawnień do pliku i folderu

Na przykład aby ograniczyć dostęp do folderu w taki sposób, aby grupa użytkowników A i B mogła przeglądać jego zawartość, ale nie mogła go usunąć, można wykonać poniższe kroki i dodać obie grupy, odmówiwszy im dostępu do zapisu. Aby zmienić uprawnienia do pliku i folderu:
  1. Kliknij menu Start, wskaż polecenie Programy, wskaż polecenie Akcesoria, kliknij program Eksplorator Windows i znajdź plik lub folder, do którego uprawnienia chcesz ustawić.
  2. Kliknij prawym przyciskiem myszy plik lub folder, kliknij polecenie Właściwości, a następnie kliknij kartę Zabezpieczenia.
  3. Aby ustawić uprawnienia dla nowej grupy lub użytkownika, kliknij przycisk Dodaj. Wpisz nazwę grupy lub użytkownika, dla których chcesz ustawić uprawnienia, korzystając z formatu nazwa_domeny\nazwa, a następnie kliknij przycisk OK.
  4. Aby zmienić lub usunąć uprawnienia dla istniejącej grupy lub użytkownika, kliknij nazwę grupy lub użytkownika.
  5. Dla każdego uprawnienia, którego chcesz udzielić lub odmówić, zaznacz pole wyboru Zezwalaj lub Odmawiaj. Możesz też kliknąć przycisk Usuń, aby usunąć grupę lub użytkownika z listy uprawnień.

Modyfikowanie uprawnień specjalnych

Jeżeli potrzebujesz dokładniejszej kontroli uprawnień, możesz modyfikować uprawnienia specjalne. W podanym przykładzie jest założone, że został udostępniony folder oraz że zostały przyznane uprawnienia grupom A i B. Grupa A nie powinna jednak tworzyć folderów w folderze udostępnionym. Możesz dla grupy A utworzyć specjalne uprawnienie Tworzenie folderów/Dołączanie danych w ramach uprawnień do zapisu. Aby zmienić uprawnienia specjalne:
  1. Kliknij menu Start, wskaż polecenie Programy, wskaż polecenie Akcesoria, kliknij program Eksplorator Windows i znajdź plik lub folder, do którego uprawnienia chcesz ustawić.
  2. Kliknij prawym przyciskiem myszy plik lub folder, kliknij polecenie Właściwości, a następnie kliknij kartę Zabezpieczenia.
  3. Kliknij przycisk Zaawansowane, a następnie wykonaj jeden z następujących kroków:
    • Aby ustawić uprawnienia dla nowej grupy lub użytkownika, kliknij przycisk Dodaj. W polu Nazwa wpisz nazwę użytkownika lub grupy w formacie nazwa_domeny\nazwa. Po zakończeniu kliknij przycisk OK, aby automatycznie otworzyć okno dialogowe Wpis uprawnienia.
    • Aby wyświetlić lub zmienić uprawnienia specjalne dla istniejącej grupy lub użytkownika, kliknij nazwę grupy lub użytkownika, a następnie kliknij przycisk Wyświetl/Edytuj.
    • Aby usunąć grupę lub użytkownika i udzielone im uprawnienia specjalne, kliknij nazwę grupy lub użytkownika, a następnie kliknij przycisk Usuń. Jeżeli przycisk Usuń nie jest dostępny, kliknij, aby wyczyścić pole wyboru Zezwalaj na propagowanie uprawnień dziedzicznych. Od tej pory plik lub folder nie będą już dziedziczyć uprawnień. Pomiń kroki od 4 do 6.
  4. W oknie dialogowym Wpis uprawnienia kliknij w razie potrzeby pole Zastosuj dla, aby wskazać, gdzie uprawnienia będą zastosowane. Zauważ, że pole Zastosuj dla jest dostępne wyłącznie w przypadku folderów.
  5. W polu Uprawnienia kliknij pole wyboru Zezwalaj lub Odmawiaj przy każdym uprawnieniu.
  6. Jeżeli podfoldery i pliki w drzewie katalogów mają dziedziczyć ustawiane uprawnienia, kliknij, aby zaznaczyć pole wyboru Zastosuj te uprawnienia.
Jeżeli pola wyboru w polu Uprawnienia są niedostępne lub jeżeli przycisk Usuń jest niedostępny, to plik lub folder odziedziczył uprawnienia z folderu nadrzędnego.

Uprawnienia w serwerze plików

Może być konieczne ustawienie uprawnień do plików znajdujących się na serwerze plików. Na przykład załóżmy, że trzeba ustawić uprawnienia dla plików używanych przez dział niedużej formy. Na serwerze plików znajduje się folder programów, foldery macierzyste każdego pracownika tego działu, folder publiczny, w którym użytkownicy mogą wymieniać się plikami oraz folder zrzutu, w którym użytkownicy mogą zapisywać poufne raporty przeznaczone wyłącznie dla menedżera grupy.

Folder programów

Wszystkie pliki programów w tym folderze powinny dla wszystkich użytkowników mieć atrybut tylko do odczytu, aby wykluczyć możliwość zapisania wirusów i koni trojańskich. Można przypisać uprawnienie Zmiana uprawnień członkom grupy Administratorzy, aby w razie potrzeby uaktualnienia programu administratorzy mogli przypisać sobie uprawnienia do zapisu.
  1. Kliknij menu Start, wskaż polecenie Programy, wskaż polecenie Akcesoria, kliknij program Eksplorator Windows i znajdź folder, do którego uprawnienia chcesz ustawić. W tym przykładzie użyj folderu o nazwie Programy.
  2. W folderze Programy kliknij prawym przyciskiem myszy plik programu, kliknij polecenie Właściwości i kliknij kartę Zabezpieczenia.
  3. Kliknij grupę Wszyscy. Jeżeli grupa Wszyscy nie jest wyświetlona, możesz ją dodać, klikając przycisk Dodaj.
  4. W polu Uprawnienia kliknij pole wyboru Zezwalaj dla uprawnienia Zapis i wykonanie oraz Odczyt.
  5. Kliknij pole wyboru Odmawiaj dla uprawnienia Zapis, a następnie kliknij, aby wyczyścić pola wyboru dla pozostałych uprawnień.
  6. Kliknij grupę Administratorzy, kliknij przycisk Zaawansowane i kliknij przycisk Wyświetl/Edytuj.
  7. Przy uprawnieniu Zmiana uprawnień kliknij pole wyboru Zezwalaj i kliknij przycisk OK.
  8. Kliknij przycisk Zastosuj, kliknij przycisk OK, a następnie jeszcze raz kliknij przycisk OK. Jeżeli żaden z programów nie zapisuje plików w swoim folderze (na przykład plików inicjowania), to foldery z takimi programami również powinny mieć ustawione uprawnienia tylko do odczytu.

Foldery macierzyste

W folderach tego typu każdy użytkownik ma pełną kontrolę nad swoim folderem i ma wyłączone uprawnienia do wszystkich innych folderów.
  1. Kliknij menu Start, wskaż polecenie Programy, wskaż polecenie Akcesoria, kliknij program Eksplorator Windows i znajdź folder, do którego uprawnienia chcesz ustawić. W tym przykładzie użyj folderu o nazwie User1.
  2. Kliknij prawym przyciskiem myszy folder User1, kliknij polecenie Właściwości, a następnie kliknij kartę Zabezpieczenia.
  3. Usuń wszystkie wymienione grupy i użytkowników. W tym celu kliknij nazwę grupy lub użytkownika i następnie kliknij przycisk Usuń.
  4. Kliknij przycisk Dodaj, a następnie dodaj użytkownika folderu. Na przykład dodaj użytkownika o nazwie User1. Kliknij przycisk OK.
  5. Kliknij nazwę użytkownika. W polu Uprawnienia zaznacz pole wyboru Zezwalaj dla uprawnienia Pełna kontrola.

Folder publiczny

W tym folderze można nadać wszystkim użytkownikom uprawnienie Modyfikacja. Uprawnienie Modyfikacja jest lepszym wyborem niż uprawnienie Pełna kontrola, ponieważ uprawnienie Pełna kontrola umożliwia użytkownikom ustawienie uprawnień do folderu publicznego i przejęcie go na własność.
  1. Kliknij menu Start, kliknij polecenie Programy, kliknij polecenie Akcesoria, kliknij program Eksplorator Windows i znajdź folder, którego uprawnienia chcesz ustawić. W tym przykładzie użyj folderu o nazwie Public.
  2. Kliknij prawym przyciskiem myszy folder Public, kliknij polecenie Właściwości, a następnie kliknij kartę Zabezpieczenia.
  3. W polu Uprawnienia kliknij grupę Wszyscy i kliknij, aby wyczyścić pole wyboru Pełna kontrola.
  4. W polu Uprawnienia zaznacz pole wyboru Zezwalaj dla uprawnienia Modyfikacja.
  5. Usuń wszystkie pozostałe grupy i użytkowników. W tym celu kliknij grupę lub użytkownika i następnie kliknij przycisk Usuń.

Folder zrzutu

Aby utworzyć folder zrzutu, przydziel użytkownikom lub grupie Wszyscy uprawnienia Zapis do tego folderu, a dla menedżera, który odczytuje pliki z folderu ustaw uprawnienia Modyfikacja.
  1. Kliknij menu Start, wskaż polecenie Programy, wskaż polecenie Akcesoria, kliknij program Eksplorator Windows i znajdź folder, do którego uprawnienia chcesz ustawić. W tym przykładzie użyj folderu o nazwie Drop i użytkownika o nazwie Manager1.
  2. Kliknij prawym przyciskiem myszy folder Drop, kliknij polecenie Właściwości, a następnie kliknij kartę Zabezpieczenia.
  3. Kliknij grupę Wszyscy. Jeżeli grupa Wszyscy nie jest wyświetlona, możesz ją dodać, klikając przycisk Dodaj.
  4. Kliknij pole wyboru Zezwalaj dla uprawnienia Zapis, a następnie kliknij, aby wyczyścić pola wyboru dla pozostałych uprawnień.
  5. Kliknij pole wyboru Odmawiaj dla uprawnienia Zapis i wykonanie. W ten sposób jawnie zostaną wyłączone również uprawnienia Wyświetlanie zawartości folderu i Odczyt.
  6. Zachowaj grupę Wszyscy i usuń wszystkie pozostałe grupy i użytkowników. W tym celu kliknij grupę lub użytkownika i następnie kliknij przycisk Usuń.
  7. Kliknij przycisk Dodaj, a następnie dodaj użytkownika folderu. W tym przypadku dodaj użytkownika o nazwie Manager1. Kliknij przycisk OK.
  8. W polu Uprawnienia kliknij nazwę użytkownika Manager1, kliknij, aby wyczyścić pole wyboru Pełna kontrola, a następnie kliknij pole wyboru Zezwalaj dla uprawnienia Modyfikacja.
UWAGA: Prawo dostępu do lokalnych folderów lub podfolderów systemowych powinno być przyznane tylko administratorom lub obsłudze serwera.

Rozwiązywanie problemów

Trzeba pamiętać, że grupy lub użytkownicy z uprawnieniami Pełna kontrola dla folderu mogą usunąć dowolne pliki i podfoldery z tego folderu niezależnie od uprawnień chroniących te pliki lub podfoldery.

Uprawnienia dla plików i folderów można ustawiać tylko na dyskach NTFS.



Właściwości

Numer ID artykułu: 300691 - Ostatnia weryfikacja: 19 września 2003 - Weryfikacja: 3.1
Informacje zawarte w tym artykule dotyczą:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional Edition
Słowa kluczowe: 
kbhowto kbhowtomaster KB300691

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com