Читаем Хитрости Windows 7. Для профессионалов - 2011 полностью

Разрешения защищают файлы только от других учетных записей. Если вы войдете в систему на своем компьютере, а потом покинете рабочее место, то любой другой человек сможет сесть на ваше место и просмотреть все ваши файлы, даже защищенные и зашифрованные. Вот почему всегда — во всяком случае, в общественных местах — в окне настроек экранной заставки рекомендуется включать параметр Начинать с экрана входа в систему (On resume, display logon screen).

Выберите в списке любого пользователя, а затем в нижнем поле флажками укажите желаемые разрешения. В этом примере членам группы Все (Everyone) разрешается считывать указанный файл, но не записывать в него новые данные. В окне одновременно отображаются разрешения только для одного пользователя или группы. Чтобы увидеть настройки сразу для нескольких, как показано на рис. 7.5, нажмите Дополнительно (Advanced).

В некоторых случаях при попытке удалить или модифицировать разрешения в стандартном окне Разрешения (Permissions) (см. рис. 7.4) выводится сообщение о том, что данный объект наследует разрешения. Причину этого объясняет параметр Наследовать от родительского объекта (Inherit from parent) диалогового окна Дополнительные параметры безопасности (Advanced Security Settings), показанного на рис. 7.5.

Владельцы файлов и наследование разрешений

Поначалу принцип наследования разрешений часто сбивает с толку, но если как следует разобраться в тонкостях, эта возможность позже сэкономит массу времени. Вкратце, если вы установили определенные разрешения для папки, то эти разрешения распространяются на все ее файлы и подпапки (хотя обычно во время настройки Windows спрашивает, нужно ли включить наследование). Когда разрешения для родительской папки распространяются также и на дочернюю папку или файл, то говорят, что дочерний объект «наследует» разрешения от родительского. Изменить унаследованные разрешения дочернего объекта невозможно, по крайней мере, пока включено наследование от предка.

I Вкладка Аудит (Auditing) диалогового окна Дополнительные параметры безопасности т •, I (Advanced Security Settings) помогает отслеживать доступ к интересующему вас объ-^ д*. екту. Для того чтобы начать собирать данные доступа, сначала нужно настроить политику аудита в окне Редактор локальной групповой политики (Group Policy) (gpedit. msc). Выберите пункт Конфигурация компьютера\Конфигурация WindowsVlapaMeTpu безопасности\Локальные политики\Политика аудита (Computer Configuration\Windows Settings\Security Settings\LocaI Policies\Audit Policy) и дважды щелкните на любой

записи в правой панели (например, Аудит событий входа в систему (Audit logon events) или Аудит использования привилегий (Audit privilege use)). Так вы включите отслеживание этих событий. Позже можно будет открыть инструмент просмотра событий (eventvwr.msc) и проверить соответствующие журналы. Обратите внимание на то, что параметры на вкладке Аудит (Auditing) также подчиняются правилу наследования, о котором говорилось выше.

Вкладка Действующие разрешения (Effective Permissions) — это инструмент устранения неполадок, с помощью которого можно проверить, как разрешения выбранного объекта влияют на конкретного пользователя. Это особенно полезно при работе с группами пользователей.

Смена владельца