Передача права владения
В предыдущих версиях Windows NT" право владения файлом или папкой являлось характеристикой, жестко привязанной к создателю данного объекта. Пользователь, создавший файл или папку, становился владельцем этого объекта. Право владения не могло быть передано другому пользователю. Единственное исключение составлял администратор, который мог стать владельцем файла или папки. Сам пользователь не мог передать право владения папкой или файлом другому пользователю.
Назначение прав доступа
Устанавливая пользователям определенные разрешения (permission) на доступ к файлам и каталогам (папкам), администраторы системы могут защищать конфиденциальную информацию от несанкционированного доступа. Каждый пользователь должен иметь определенный набор разрешений на доступ к конкретному объекту файловой системы. Кроме того, он может быть владельцем файла или папки, если сам их создает. Администратор может назначить себя владельцем любого объекта файловой системы (файла или папки). Следует, однако, помнить, что обратная передача владения от администратора к пользователю невозможна. Администратор должен зарегистрироваться в системе под именем того пользователя, которому он хочет передать владение файлом или папкой, а затем стать владельцем нужного объекта.
Разрешения пользователя на доступ к объектам файловой системы работают по принципу дополнения (аддитивности). Это значит, что действующие разрешения, т. е. те разрешения, которые пользователь реально имеет в отношении конкретного каталога или файла, образуются из всех прямых и косвенных разрешений, назначенных пользователю для данного объекта с помощью логической функции ИЛИ. Например, если пользователь имеет прямо назначенное разрешение для каталога на чтение, а косвенно через членство в группе ему дано разрешение па запись, то в результате пользователь сможет читать информацию в файлах каталога и записывать в них данные. Следует все же заметить, что правило сложения разрешений с помощью логического ИЛИ не выполняется, когда пользователь имеет определенное разрешение, а группе, в которую он входит, отказано в этом разрешении (или наоборот). В этом случае отказ в разрешении (Deny) имеет более высокий приоритет над предоставлением разрешения, т. е. в результате пользователь не будет иметь данного разрешения. Появление возможности отказа пользователю или группе в разрешении для файлов и каталогов сделало ненужным разрешение Нет доступа (No Access), применявшееся в Windows NT 4.0. Теперь для отказа пользователю в разрешении на доступ к какому-либо файлу или папке следует включить пользователя в группу, которой отказано в разрешении Полный доступ (Full Conyrol) для данного объект файловой системы.
Внимание!
В версиях Windows ХР Professional и Windows ХР Ноmе Edition для разграничения прав доступа к файлам и папкам используется один и тот же механизм, реализованный на уровне файловой системы NTFS. Однако в Windows ХР Ноmе Edition все возможности непосредственного просмотра разрешений и управления ими скрыты, и применяются упрощенные механизмы разграничения доступа к личной информации пользователей.
В системе Windows ХР Ноmе Edition пользователи могут создавать файлы и папки на любых логических дисках. По умолчанию пользователи могут изменять свои (созданные ими) файлы и читать чужие. Каждый пользователь имеет собственную папку, ее имя в Проводнике отображается как Документы — <имя Пользователя>, например, Документы — Алексей (Aleksey’s Documents). Пользователь может сделать эту папку личной, т. е. невидимой (и, следовательно, недоступной) для других пользователей. Для этого в окне свойств папки на вкладке Доступ (Sharing) нужно установить флажок Отменить общий доступ к этой папке (Маке this folder private). В этом случае у папки будет удалено разрешение Чтение для группы Пользователи.