NTFS — разрешения. SMB и NTFS-разрешения

В данной статье подробно рассмотрены вопросы использования программы Xcacls.exe…

В данной статье подробно рассмотрены вопросы использования программы Xcacls.exe (средства Extended Change Access Control List) для просмотра и изменения разрешений NTFS для файлов и папок.
С помощью Xcacls.exe можно установить все параметры безопасности для файловой системы, доступ к которым осуществляется из командной строки в проводнике (с этой целью Xcacls.exe отображает и изменяет списки управления доступом (ACL) файлов).
Рекомендуется использовать Xcacls.exe для автоматической установки Windows 2000 Professional или Windows 2000 Server. С ее помощью устанавливаются исходные права доступа для папок, в которых находятся файлы операционной системы. В процессе переноса программного обеспечения на серверы и рабочие станции Xcacls.exe обеспечивает одноступенчатую защиту от удаления пользователем файлов и папок.
Программа Xcacls.exe входит в состав пакета Windows 2000 Resource Kit . В центре загрузки Microsoft доступен следующий файл:

Свернуть это изображениеРазвернуть это изображение

Синтаксис Xcacls.exe

xcacls имя_файла ] ]

где имя_файла - имя файла или папки, к которой обычно применяется список или элемент управления доступом. Можно использовать любые стандартные подстановочные знаки.
/T Рекурсивно просмотреть текущую и все вложенные папки, назначая указанные права доступа всем файлам и папкам, которые удовлетворяют требованиям.
/E - редактировать список управления доступом (не заменяя его). Например, после выполнения команды XCACLS test.dat /G Administrator:F доступом к файлу Test.dat обладает только учетная запись администратора. Все примененные ранее элементы управления доступом отменяются.
/C - Xcacls.exe продолжает работу даже после получения сообщения «Отказано в доступе». Если параметр /C не указан, появление этого сообщения приводит к остановке программы.
/G - пользователь:разрешение;особ_доступ Предоставить пользователю доступ к определенному файлу или папке.

• Переменная разрешение служит для назначения указанных прав доступа к файлам и определения особой маски доступа к файлам для папок. Переменная разрешение принимает следующие значения:
  • R - чтение
  • C - изменение (запись)
  • F - полный доступ
  • P - изменение разрешений (особый доступ)
  • O - смена владельца (особый доступ)
  • X - запуск (особый доступ)
  • E - чтение (особый доступ)
  • W - запись (особый доступ)
  • D - удаление (особый доступ)
• Переменная особ_доступ (особый доступ) используется только с папками; принимает те же значения, что и переменная разрешение, а также следующее особое значение:
  • T - значение не определено - назначить элемент управления доступом для каталога без указания элемента, который используется для создаваемых в этой папке файлов. Должно быть указано хотя бы одно право доступа. Текст между точкой с запятой (;) и параметром Т не учитывается. Примечания.
    • Параметры доступа для файлов (для папок - особого доступа к файлам и папкам) идентичны. Подробное описание этих параметров см. в документации к системе Windows 2000.
    • Прочие параметры (также назначаются в проводнике) представляют собой подмножества всех возможных сочетаний основных прав доступа. По этой причине особые права доступа к папкам (например, LIST или READ) отсутствуют.

/R пользователь Отменить все права доступа для указанного пользователя.
/P пользователь:разрешение;особ_доступ - заменить права доступа для указанного пользователя. Переменные «разрешение» и «особ_доступ» определяются по правилам, описанным для параметра /G. См. раздел этой статьи.
/D пользователь - запретить пользователю доступ к файлу или папке.
/Y - Отменить вывод запроса на подтверждение изменения прав доступа. Программа CACLS выводит такой запрос по умолчанию. По этой причине, если команда CACLS используется в составе пакетного файла, его выполнение прерывается до получения ответа на запрос. Параметр /Y используется для подавления вывода окна запроса в случае использования Xcacls.exe в пакетном режиме.

Использование программы Xcacls.exe для просмотра разрешений

Программу Xcacls.exe также можно использовать для просмотра разрешений для файлов и папок. Например, введите в командной строке xcacls C:\winnt и нажмите клавишу ВВОД. Обычно программа возвращает следующий результат.

C:\WINNT BUILTIN\Users:R BUILTIN\Users:(OI)(CI)(IO)(special access:) GENERIC_READ GENERIC_EXECUTE BUILTIN\Power Users:C BUILTIN\Power Users:(OI)(CI)(IO)C BUILTIN\Administrators:F BUILTIN\Administrators:(OI)(CI)(IO)F NT AUTHORITY\SYSTEM:F NT AUTHORITY\SYSTEM:(OI)(CI)(IO)F BUILTIN\Administrators:F CREATOR OWNER:(OI)(CI)(IO)F

Флаги списка управления доступом имеют следующее значение.

• IO : Inherit Only (только наследование) - данный элемент управления доступом не применяется к текущему объекту.
• CI : Container Inherit (наследование контейнерами) - данный элемент управления доступом наследуется контейнерами более низкого уровня.
• OI : Object Inherit (наследование объектами) - данный элемент управления доступом наследуется файлами более низкого уровня.
• NP : Non-Propagate (не распространять) - объект более низкого уровня не передает дальше унаследованный элемент управления доступом.

Буква в конце каждой строки означает разрешение. Например:

• F - полный доступ
• C - изменение
• W - запись

Примеры использования Xcacls.exe

Пример 1

Чтобы заменить список ACL для всех файлов и папок в текущей папке без просмотра вложенных папок и вывода запроса на подтверждение, введите в командной строке XCACLS *.* /G administrator:RW /Y и нажмите клавишу ВВОД.

Пример 2

Добавленные в данном примере элементы управления доступом также наследуют элементы управления доступом новых файлов, которые создаются в данной папке. После ввода данной команды пользователь TestUser получает право читать, изменять, запускать и удалять все файлы, которые создаются в данной папке, но имеет разрешение только на чтение и запись для самой папки. Введите в командной строке XCACLS *.* /G TestUser:RWED;RW /E и нажмите клавишу ВВОД.

Пример 3

В данном примере устанавливаются разрешения на чтение и запись в папку без создания наследуемого элемента для новых файлов. По этой причине для пользователя TestUser создаваемым в данной папке файлам не назначается элемент управления доступом. Для существующих файлов создается элемент управления доступом с разрешениями на чтение. Введите в командной строке XCACLS *.* /G TestUser:R;RW /E и нажмите клавишу ВВОД.

Инструкции по назначению разрешений NTFS

Назначая разрешения NTFS, принимайте во внимание следующее.

• Разрешения NTFS служат для управления доступом к файлам и папкам.
• Целесообразно устанавливать разрешения для групп, а не отдельных пользователей.
• Разрешения для файлов имеют преимущество перед разрешениями для папок.
• Назначением разрешений управляют администраторы и владелец объекта.
• Изменяя разрешения для папок, помните о программах, которые установлены на сервере. Программы создают собственные папки, для которых устанавливается параметр Переносить наследуемые от родительского объекта разрешения на этот объект . Изменение разрешений в родительской папке может вызвать неполадки в работе программ.

  Предупреждение . Многие папки и файлы получают разрешения через механизм наследования. Следовательно, изменение разрешений для одной папки может повлиять на другие объекты.

Защита файлов и общих папок

Тема информационной защиты сегодня популярна, как никогда. IT-профессионалы черпают знания отовсюду: из специальных статей в журнале и даже из ежедневных рассылок по электронной почте.

Большинство технических средств защищают ресурсы организации от постороннего вмешательства. Но зачастую необходимо разделить доступ к информации внутри самого предприятия. Только представьте, какие проблемы могут возникнуть, если все сотрудники получат доступ к личным записям своих коллег.

Файловая система NTFS в Windows XP и её полномочия для общих папок специально разработаны для защиты содержимого папок общего доступа как от внутренних, так и внешних утечек. В этой статье дано несколько советов, следуя которым администратор сможет грамотно назначать NTFS-полномочия и управлять доступом к общим папкам и файлам

Управление доступом к файлам

Большинство пользователей выкладывает файлы в открытый доступ для участников рабочих групп и p2p-сетей, для этого нужно:

1. Введите название папки в графу Share Name (Имя общего ресурса)
2. По желанию можно добавить несколько пояснительных слов в графу Comment (Описание).
3. Нажмите OK.

Однако такой метод не всегда работает корректно, особенно на системах Windows XP с дисками, форматированными в NTFS (когда противоречивые NTFS-полномочия, вступая в конфликт, не допускают разрешённых пользователей к этим ресурсам; подробнее об этом чуть ниже). Ну, а самое печальное в том, что полномочия, заданные по умолчаниюWindows XP, предоставляют доступ к содержимому каталогов всем пользователям.

Также для того, чтобы назначить разные полномочия для разных пользователей, необходимо отключить активную по умолчанию опцию Windows XP Simple File Sharing (Простой общий доступ к файлам):

1. Откройте проводник Windows Explorer
2. Перейдите в меню Tools (Сервис)
3. Выберите пункт Folder Options (Свойства папки)
4. Перейдите на вкладку View (Вид).
5. В окне Advanced Settings (Дополнительные параметры) уберите отметку с параметра Use Simple File Sharing (Recommended) | Использовать простой общий доступ к файлам (рекомендуется).
6. Нажмите OK.

Для того, чтобы отключить разрешение для Всех (Everyone) и настроить уровень доступа для каждого пользователя индивидуально :

Полномочия полного доступа (Full Control) разрешают пользователям или группам читать, изменять, удалять и запускать содержащиеся в папке файлы. Помимо этого такие пользователи могут создавать и удалять в этом каталоге новые подпапки.

Пользователи, имеющие право изменять информацию в папке (Change), могут просматривать и изменять находящиеся в каталоге файлы, создавать в нём свои файлы и папки и запускать расположенные в нём программы на исполнение.

Пользователям и группам, наделённых полномочиями чтения информации (Read), разрешается только просматривать хранимые в каталоге файлы и запускать программы. Для информации на дисках Windows XP, отформатированных в файловую систему NTFS, можно устанавливать дополнительные полномочия.

NTFS-полномочия

NTFS-полномочия в среде Windows предоставляют собой дополнительный набор параметров, которые можно настраивать для каждого отдельного файла или папки.

Для начала нужно убедиться, что настройки Windows XP позволяют работать с файловой системой NTFS:

1. Нажмите Start (Пуск)
2. Выберите команду Run (Выполнить)
3. Введите в строку compmgmt.msc и нажмите OK. Откроется консоль Computer Management (Управление компьютером).
4. Перейдите к объекту Disk Management (Управление дисками) на вкладке Storage (Запоминающие устройства) для того, чтобы узнать какой тип файловой системы используется на каждом диске.

Если диск или один из его разделов не отформатированы в NTFS, это можно исправить, если ввести convert X: /fs:ntfs, поставив вместо X букву нужного диска или раздела. Команда convert поменяет текущую файловую систему диска на NTFS, не уничтожая при этом хранящиеся на нём данные. Тем не менее, перед запуском команды на выполнение лучше сделать резервную копию содержимого диска.

Для настройки NTFS-разрешений:

Учтите, что по умолчанию подкаталоги наследуют свойства своих корневых директорий. Для того, чтобы это изменить, нажмите на кнопке Advanced (Дополнительно) на вкладке Security (Безопасность) диалогового окна Properties (Свойства).

Виды NTFS-полномочий:

• Full Control (Полный доступ) - разрешает пользователям и группам выполнять любые операции с содержимым папки, включая просмотр файлов и подкаталогов, запуск файлов приложений, управление списком содержимого папки, чтение и запуск исполняемых файлов, изменение атрибутов файлов и папок, создание новых файлов, добавление данных в файлы, удаление файлов и подкаталогов, а также изменение полномочий доступа к файлам и папкам.
• Modify (Изменить) - разрешает пользователям и группам осуществлять просмотр файлов и подкаталогов, запускать исполняемые файлы приложений, управлять списком содержимого папки, просматривать параметры папки, изменять атрибуты папок и файлов, создавать новые файлы и подкаталоги, добавлять данные в файлы и удалять файлов.
• Read & Execute (Чтение и выполнение) - разрешает пользователям и группам просматривать список файлов и подкаталогов, запускать исполняемые файлы приложений, просматривать содержимое файлов, а также изменять атрибуты файлов и папок.
• List Folder Contents (Список содержимого папки) - разрешает пользователям и группам осуществлять навигацию по каталогам, работать со списком содержимого папки, а также просматривать атрибуты файлов и папок.
• Read (Чтение) - разрешает пользователям и группам просматривать содержимое папки, читать файлы и просматривать атрибуты файлов и папок.
• Write (Запись) - разрешает пользователям и группам изменять атрибуты файлов и папок, создавать новые папки и файлы, а также изменять и дополнять содержимое файлов.

Для определения окончательных полномочий того или иного пользователя вычтите из NTFS-разрешений, предоставленных ему непосредственно (или как члену группы), все индивидуальные запреты (или запреты, который он получил в качестве члена группы). К примеру, если пользователь получил полный доступ (Full Control) к данной папке, но в то же время является членом группы, для которой запрещён полный доступ, то он в результате не будет обладать правами полного доступа. Если уровень доступа пользователя ограничен параметрами Read & Execute (Чтение и выполнение) и List Folder Contents (Список содержимого папки) в одной группе, и в то же время ему запрёщен доступ на уровне List Folder Contents (Список содержимого папки), то в результате его NTFS-полномочия будут ограничены только уровнем Read & Execute (Чтение и выполнение). По этой причине администратором следует подходить к запретам с особой осторожностью, поскольку запрещённые функции имеют приоритет перед разрешёнными для того же пользователя или группы.

Windows XP снабжена удобной утилитой для подтверждения действующих разрешений пользователя или группы :

Сочетание NTFS-разрешений с полномочиями общего доступа

Звучит многообещающе. Казалось бы, достаточно грамотно раздать пользователям соответствующие полномочия - и можно начинать работу. Однако на самом деле не всё так просто. Полномочия общего доступа и NTFS-разрешения должны чётко определять, какими реальными правами доступа обладают пользователи и группы, но, к сожалению, они часто конфликтуют между собой. Для определения окончательных полномочий того или иного пользователя сравните итоговые полномочия общего доступа с итоговыми NTFS-разрешениями. Помните, что ограничения доступа будут доминировать над разрешениями. Например, если итоговые NTFS-права доступа пользователя ограниченны уровнем Read and Execute (Чтение и выполнение), а итоговые права общего доступа - уровнем Full Control (Полный доступ), система не предоставит этому пользователю действительные права полного доступа, а выберет наиболее приоритетный уровень, в данном случае это NTFS-разрешение на чтение и выполнение. Всегда необходимо помнить о том, что итоговые ограничения в правах превалируют над итоговыми разрешениями. Это очень важный момент, который легко забывается, после чего доставляет пользователям немало хлопот. Поэтому тщательно рассчитывайте соотношения запретов и разрешений полномочий NTFS и общего доступа

При установке Windows XP вам будет предложено отформатировать существующий раздел, на который устанавливается ОС, в файловую систему NTFS. Так что же это такое?

Файловая система NTFS обеспечивает такое сочетание производительности, надежности и эффективности, которое невозможно получить с помощью FAT. Основными целями разработки NTFS являлись обеспечение скоростного выполнения стандартных операций над файлами, таких как чтение, запись, поиск, и предоставления дополнительных возможностей, включая восстановление поврежденной файловой системы на чрезвычайно больших дисках.

Файловая система NTFS является "своей" файловой системой для Windows NT, а как известно WinXP, является своеобразным продолжением этой линейки ОС. Но если вы собираетесь использовать на одном компьютере несколько операционных систем таких, как Windows 9x и Windows XP, то загрузочный том нельзя форматировать в NTFS, так как линейки Windows 95(98) "понимают" только FAT, и дисков, отформатированных в NTFS для этих ОС просто не существует. Файлы находящиеся на дисках NTFS можно увидеть только используя программы сторонних производителей. Если же во время установки вы не отформатировали раздел в NTFS, то это можно сделать и после неё. В командной строке WindowsXP необходимо набрать "Convert (имя диска)/FS:NTFS" без кавычек.

Ниже приводится сравнительная таблица файловых систем FAT и NTFS

NTFS обладает характеристиками защищенности, поддерживая контроль доступа к данным и привилегии владельца, играющие исключительно важную роль в обеспечении целостности важных данных. Папки и файлы NTFS могут иметь назначенные им права доступа вне зависимости от того, являютя ли они разделяемыми или нет.
NTFS - единственная файловая система в Windows, которая позволяет назначать права доступа к различным файлам. Устанавливая пользователям определенные разрешения для файлов и каталогов, пользователь может защищать конфиденциальную информацию от несанкционированного доступа. Разрешения пользователя на доступ к объектам файловой системы работают по принципу дополнения. Это значит, что действующие разрешения, то есть те разрешения, которые пользователь реально имеет в отношении конкретного каталога или файла, образуются из всех прямых или косвенных разрешений, назначенных пользователю для данного объекта с помощью логической функции "Или". Например, если пользователь имеет право назначить разрешение для каталога на чтение, а косвенно через членство в группах ему дано право на запись, то в результате пользователь сможет читать информацию в файлах каталога и записывать в них данные.
Для назначения пользователю или группе разрешения на доступ к определенному файлу необходимо: 1. Указать файл мышью и нажать правую кнопку. Выбрать пункт Properties (Свойства) контекстного меню. В появившемся окне свойств файла перейти на вкладку Security (Безопасность). По умолчанию данной вкладки там нет, чтобы она появилась необходимо в свойствах папки убрать галочку Simple File Sharing (использовать простой общий доступ к файлам).
2. В группе Name (Имя) показан список пользователей и групп, которым уже предоставлены разрешения для этого файла. Для того, чтобы добавить или удалить пользователей или новые группы, нажать кнопку Add/Remove (Добавить/Удалить) Появится окно диалога Select Users, Groups (Выбрать пользователей, группы).В поле Enter the object names to select (Введите имена выбираемых объектов) написать имя пользователя, кнопка Check Names (Проверить имена) позволяет проверить правильность написания имени.
3. В группе Permissions (Разрешения) устанавливаются разрешения. Присутствуют указатели Deny (запретить) и Allow (Разрешить). Устанавливаются флажки для следующих параметров: Full Control (полный контроль) - пользователь получает неограниченный доступ к файлу, Modify (Изменение) - пользователь может изменять файл, Read & execute (Чтение и выполнение), Read (Чтение) - пользователь может только читать файл, Write (Запись) - пользователь может записывать в файл.

Для более тонкой настройки разрешений необходимо нажать кнопку Advanced. Появляется диалоговое окно Advanced Security Settings for (Дополнительные параметры безопасности). Здесь можно дополнительно указать дополнительные разрешения, настроить политику аудита, изменить (просмотреть) информацию о владельце файла и добавить / удалить пользователей, могущих получить доступ к файлу.
Следующее, очень полезное свойство файловой системы NTFS - это возможность введения квот. Это свойство, как правило необходимо системным администраторам, больших компаний, где работают большое количество пользователей, у которых нет привычки следить за актуальностью информации, и которые хранят ненужные файлы, тем самым занимая дисковое пространство. Так как администратор не может проследить за всем этим, он может ввести квоту на использование диска определенному пользователю. После установки квот пользователь может хранить на томе ограниченный объем данных, в то время как на этом диске может оставаться свободное пространство. Если пользователь превысит выданную ему квоту, в журнал событий будет внесена соответствующая запись. Чтобы включить квоты на диске нужно прежде всего, чтобы он был в формате NTFS, затем в свойствах папки Tools-Folder Options-View убрать флажок Simple File Sharing. Это нужно для того, чтобы в свойствах диска появилась вкладка Quota. В ней необходимо установить флажок на Enable quota managment (Активизировать управление квотами). Это будет установлена мягкое квотирование, которое выдаст предупреждение, что пользователь, если так случится, превысил квоту, но право на запись у него будет. Чтобы в случае превышения квоты пользователю было отказано в доступе к этому тому, необходимо установить флажок на Deny disk space to users exceeding quota limit (Запретить запись на диск пользователям, превысившим размер дискового пространства). На этой же вкладке можно установить размер выделяемой квоты (Limit disk space to) и порог, превышение которого вызывает запись предупреждения в журнале событий (Set Warning level to) - Установить порог выдачи сообщения. Эти параметры устанавливаются по умолчанию для всех пользователей. В окне же Quota Entries можно изменить параметры квоты, задаваемой для конкретного пользователя. Для этого следует выделить конфигурируемую учетную запись, с помощью контекстного меню выбрать свойства и сконфигурировать квоту.
И ещё одно нововведение NTFS 5 - точки монтирования. Пользователь может определить различные, не связанные с собой папки и даже диски в системе как один диск или папка. Это имеет большую важность для определения в одном месте разнородной информации, находящейся в системе. Файлы и папки таким образом созданные имеют уникальный идентификационный номер, что гарантирует их правильное нахождение в системе, даже если папка или файл был перенесен.

Разрешения NTFS служат для защиты ресурсов от:

локальных пользователей, работающих за компьютером, на котором располагается ресурс;

удаленных пользователей, подключающихся к общей папке по сети.

Разрешения NTFS обеспечивают высокую избирательность защиты: для каждого файла в папке Вы можете установить свои разрешения. Например, одному пользователю позвольте считывать и изменять содержимое файла, другому - только считывать, а остальным - вообще запретите доступ к нему.

Если при форматировании тома на него устанавливается файле система NTFS, группе Everyone автоматически присваивается разрешение Full Сontrol (Полный контроль) на этот том. Папки и файлы, создаваемые на этом томе, по умолчанию наследуют это разрешение.

Индивидуальные разрешения

В Windows NT имеется шесть типов индивидуальных разрешений NTFS, каждый из которых задает тип доступа к файлу или папке.

В таблице описаны разрешенные пользователю операции с папкой или файлом при наложении на объект одного из индивидуальных разрешений NTFS.

Пользователь, создавший файл или папку на томе NTFS, становится владельцем этого файла или папки. Если этот пользователь является членом группы Administrators (Администраторы), фактическим владельцем становится вся группа Administrators. Владелец всегда имеет право назначать и изменять разрешения на доступ к своему файлу или папке.

Стандартные разрешения

В большинстве случаев Вы будете пользоваться стандартными разрешениями NTFS. Они представляют собой комбинации индивидуальных разрешений. Одновременное назначение нескольких индивидуальных разрешений для файла или папки значительно упрощает администрирование.

После названия стандартного разрешения в скобках приводятся аббревиатуры составляющих его индивидуальных разрешений. Например, стандартное разрешение Read (Чтение) для файла эквивалентно двум индивидуальным разрешениям - Read (Чтение) и Execute (Выполнение) - и в скобках будут стоять буквы RX.

Стандартные разрешения для папок

В таблице перечислены стандартные разрешения для папок и указаны соответствующие им индивидуальные разрешения NTFS.

Разрешение No Access (Нет доступа) запрещает любой доступ к файлу или папке, даже если пользователь является членом группы, которой дано разрешение на доступ. Прочерк в столбце "Индивидуальные разрешения для файлов" означает, что данное стандартное разрешение неприменимо к файлам.

Стандартные разрешения для файлов

В таблице перечислены стандартные разрешения для файлов и указаны соответствующие им индивидуальные разрешения NTFS.

Разрешения Full Control (Полный контроль) и Change (Изменение) отличаются тем, что второе не позволяет изменять разрешения и владельца объекта.

1. Применение разрешений ntfs

Разрешения NTFS присваиваются учетным записям пользователей и групп так же, как и права доступа к общим ресурсам. Пользователь может получить разрешение либо непосредственно, либо являясь членом одной или нескольких групп, имеющих разрешение.

Применение разрешений NTFS для папок сходно с применением прав доступа общим ресурсам.

Как и права доступа к общим ресурсам, фактические разрешения NTFS для пользователя - это комбинация разрешений пользователя и групп, члене которых он является. Единственное исключение - разрешение No Access (Hет доступа): оно отменяет все остальные разрешения.

В отличие от прав доступа к общим ресурсам, разрешения NTFS защищают локальные ресурсы. В частности, файлы и папки, содержащиеся в данной папке, могут иметь другие разрешения, нежели она сама.

Разрешения NTFS для файла превалируют над разрешениями для папки, которой он содержится. Например, если пользователь имеет разрешения Read (Чтение) для папки и Write (Запись) для вложенного в нее файла, то он сможет записывать данные в файл, но не сможет создать новый файл в папке.

Эта статья идейно продолжает статью . Как в ней было сказано, после выбора пользователей и (или) групп необходимо указать параметры доступа к ним. Сделать это можно с помощью разрешений файловой системы NTFS, рассмотренных в следующей таблице.

Разрешения доступа к файлам

• Чтение. Разрешается чтение файла, а также просмотр его параметров, таких как имя владельца, разрешения и дополнительные свойства.
• Запись. Разрешается перезапись файла, изменение его параметров, просмотр имени его владельца и разрешений.
• Чтение и выполнение. Разрешение на чтение и право на запуск исполняемого приложения.
• Изменение. Разрешено изменение и удаление файла, а также все, что предусмотрено разрешениями Чтение и выполнение, а также Запись.
• Полный доступ.
• Разрешен полный доступ к файлу. Это значит, что допускаются все действия, предусмотренные всеми перечисленными выше разрешениями. Разрешено также стать владельцем файла и изменять его разрешения.

Разрешения доступа к папкам

• Чтение. Разрешается просматривать вложенные папки и файлы, а также их свойства, такие как имя владельца, разрешения и атрибуты чтения, такие как Только чтение, Скрытый, Архивный и Системный.
• Запись. Разрешается создавать и размещать внутри папки новые файлы и подпапки, а также изменять параметры папки и просматривать ее свойства, в частности имя владельца и разрешения доступа.
• Список содержимого папки. Разрешается просматривать имена содержащихся в папке файлов и вложенных папок.
• Чтение и выполнение. Разрешается получение доступа к файлам во вложенных папках, даже если нет доступа к самой папке. Кроме того, разрешены те же действия, которые предусмотрены для разрешений Чтение и Список содержимого папки.
• Изменение. Разрешены все действия, предусмотренные для разрешений Чтение и Чтение и выполнение, а также разрешено удаление папки.
• Полный доступ. Разрешается полный доступ к папке. Другими словами, допускаются все действия, предусмотренные всеми перечисленными выше разрешениями. Дополнительно разрешено стать владельцем папки и изменять ее разрешения.
• Особые разрешения. Набор дополнительных разрешений, отличающихся от стандартных.

Создатель файла всегда считается его владельцем, который имеет права Полный доступ , даже в том случае, если учетная запись владельца не указана на вкладке Безопасность файла . Кроме указанных выше разрешений для файла можно выбрать два дополнительных типа разрешений.

• Смена владельца . Этот тип разрешения позволяет пользователю стать владельцем файла. Данный тип разрешения по умолчанию присвоен группе Администраторы .
• Смена разрешений . Пользователь получает возможность изменять список пользователей и групп, имеющих доступ к файлу, а также менять типы разрешений доступа к файлу.