Разрешения на доступ к каталогам и файлам
В Windows NT администратор может управлять доступом пользователей к каталогам и файлам только в разделах диска, в которых установлена файловая система NTFS. Разделы FAT не поддерживаются средствами защиты Windows NT, так как в FAT у файлов и каталогов отсутствуют атрибуты для хранения списков управления доступом. Доступ к каталогам и файлам контролируется за счет установки соответствующих разрешений.
Разрешения в Windows NT бывают индивидуальные и стандартные. Индивидуальные разрешения относятся к элементарным операциям над каталогами и файлами, а стандартные разрешения являются объединением нескольких индивидуальных разрешений.
В представленной ниже таблице показано шесть индивидуальных разрешений (элементарных операций), смысл которых отличается для каталогов и файлов.
| Разрешение | Для каталога | Для файла |
| Read (R) | Чтение имен файлов и каталогов, входящих в данный ка талог, а также атрибутов и владельца каталога | Чтение данных, атрибутов, - имени владельца и разрешений файла |
| Write (W) | Добавление файлов и каталогов, изменение атрибутов каталога, чтение владельца и разрешений каталога | • Чтение владельца и разрешений файла, изменение атрибутов файла, изменение и добавление данных файла |
| Execute (X) | Чтение атрибутов каталога, выполнение изменений в каталогах, входящих в данный каталог, чтение имени владельца и разрешений каталога | Чтение атрибутов файла, имени владельца и разрешений. Выполнение файла, если он хранит код программы |
| Delete (D) | Удаление каталога | Удаление файла |
| Change Permission (P) | Изменение разрешений каталога | Изменение разрешений файла |
| Take Ownership (O) | Стать владельцем каталога | Стать владельцем файла |
Для файлов в Windows NT определено четыре стандартных разрешения: No Access, Read, Change и Full Control, которые объединяют индивидуальные разрешения, перечисленные в следующей таблице.
| Стандартное разрешение | Индивидуальные разрешения |
| No Access | Ни одного |
| Read | RX |
| Change | RWXD |
| Full Control | Все |
Разрешение Full Control отличается от Change тем, что дает право на изменение разрешений (Change Permission) и вступление во владение файлом (Take Ownership).
Для каталогов в Windows NT определено семь стандартных разрешений: No Access, List, Read, Add, Add&Read, Change и Full Control. В следующей таблице показано соответствие стандартных разрешений индивидуальным разрешениям для каталогов, а также то, каким образом эти стандартные разрешения преобразуются в индивидуальные разрешения для файлов, входящих в каталог в том случае, если файлы наследуют разрешения каталога.
| Стандартные разрешения | Индивидуальные разрешения для каталога | Индивидуальные разрешения для файлов каталога при наследовании |
| No Access | Ни одного | Ни одного |
| List | RX | Не определены |
| Read | RX | RX |
| Add | WX | Не определены |
| Add & Read | RWX | RX |
| Change | RWXD | RWXD |
| Full Control | Все | Все |
При создании файла он наследует разрешения от каталога указанным способом только в том случае, если у каталога установлен признак наследования его разрешений. Стандартная оболочка Windows NT — Windows Explorer — не позволяет установить такой признак для каждого разрешения отдельно (то есть задать маску наследования), управляя наследованием по принципу «все или ничего».
Существует ряд правил, которые определяют действие разрешений.
- Пользователи не могут работать с каталогом или файлом, если они не имеют явного разрешения на это или же они не относятся к группе, которая имеет соответствующее разрешение.
- Разрешения имеют накопительный эффект, за исключением разрешения No Access, которое отменяет все остальные имеющиеся разрешения. Например, если группа Engineering имеет разрешение Change для какого-то файла, а группа Finance имеет для этого файла только разрешение Read и Петров является членом обеих групп, то у Петрова будет разрешение Change. Однако если разрешение для группы Finance изменится на No Access, то Петров не сможет использовать этот файл, несмотря на то что он член группы, которая имеет доступ к файлу.
По умолчанию в окнах Windows Explorer находят свое отражение стандартные права, а переход к отражению индивидуальных прав происходит только при выполнении некоторых действий. Это стимулирует администратора и пользователей к использованию тех наборов прав, которые разработчики ОС посчитали наиболее удобными.