Можно намного упростить дальнейшую администраторскую работу по назначению разрешений на доступ к файлам и папкам, предотвратить несанкционированный доступ к информации, облегчить поиск решения в случае возникновения проблем, связанных с разрешениями, если следовать некоторым правилам:

не назначайте разрешения отдельным пользователям, а предоставляйте доступ определенным группам. Объединяйте в группы тех пользователей, которым требуется доступ к одним и тем же ресурсам. Если вам, например, понадобится предоставить доступ к общим файлам компании новому пользователю какого-либо отдела, просто добавьте его учетную запись в группу, уже содержащую остальных пользователей из этого отдела. Если потом будет нужно запретить доступ, просто исключите пользователя из группы. Тем самым вы избавите себя от долгих поисков всех папок и файлов, к которым имеет доступ этот пользователь;

для облегчения администрирования объединяйте файлы аналогичного содержания в отдельные папки или на отдельные диски. К примеру, можно объединять таким способом файлы приложений, документы, домашние папки пользователей. Для системных файлов выделите отдельный том. Таким образом, вы сможете назначать разрешения на доступ не к отдельным файлам, а целым папкам. Помимо этого, вы облегчите выполнение задач поиска данных и выполнение процедур резервного копирования;

предоставляйте пользователям только тот уровень доступа, который необходим им для работы. Это уменьшит вероятность случайного или намеренного удаления или повреждения важной информации;

явно запрещайте доступ только в том случае, если требуется предотвратить выполнение конкретных действий определенному пользователю или группе пользователей;

пользуйтесь возможностью наследования разрешений, начинайте назначать разрешения с верхних уровней каталогов;

не запрещайте группе Все доступ к системным файлам и папкам. Иначе вы просто не сможете работать с операционной системой;

назначьте полный доступ к общим папкам группе Создатель-владелец, если вы хотите, чтобы пользователи могли сами выдавать разрешения на доступ к созданным ими файлам.

3.1.8. Копирование и перемещение объектов

При копировании или перемещении файлов и папок, разрешения, назначенные для доступа к ним, могут измениться, создавая проблемы тому, кому необходимо работать с этими данными, или наоборот, предоставляя доступ для тех, кто не должен его иметь. Чтобы избежать подобных проблем, необходимо понимать, что происходит с разрешениями при копировании и перемещении файлов и папок.

Копирование файлов и папок

Когда вы копируете файлы и папки с одного тома NTFS на другой, или в пределах одного тома, разрешения изменяются в соответствии с установленными разрешениями на том томе или папке, куда происходит копирование.

При этом Windows ХР Professional рассматривает копию как новый файл, а вы становитесь его создателем и владельцем. Конечно, при условии, что у вас есть разрешение на запись.

Если вы копируете данные на устройство с файловой системой FAT или FAT32, все разрешения теряются, поскольку эти системы не поддерживают такую возможность.

Перемещение файлов и папок

При перемещении файлов и папок разрешения, установленные для них, могут меняться или оставаться прежними в зависимости от того, куда происходит перемещение.

При перемещении в пределах одного тома NTFS следует учитывать следующее:

файл или папка сохраняет первоначальные разрешения;

вы должны иметь разрешение на запись для места назначения;

вы должны иметь разрешение на изменение для перемещаемого файла или папки, так как после переноса файла на место назначения происходит удаление первоначального объекта;

вы становитесь создателем и владельцем.

При перемещении файла или папки между томами NTFS наследуются разрешения той папки, которая является местом назначения. Остальные замечания, относящиеся к перемещению в пределах одного тома, остаются в силе и для перемещения между томами.

3.1.9. Установка разрешений из командной строки

Утилита командной строки CACLS (Control ACLs, управление таблицами доступа) позволяет просматривать и редактировать разрешения в Windows ХР Professional и Windows ХР Home Edition. И еще одна утилита, XCACLS (Extended CACLS, расширенное управление таблицами доступа) находится в архиве \Support\Tools\support.cab на установочном диске Windows ХР Professional.

Для любителей повозиться с командной строкой приводим справку по использованию команды cacls (листинг 3.1).

Листинг 3.1. Использование утилиты cacls

3.2. Общий доступ к папкам