Запрет на удаление папки ntfs
Буквально несколько дней назад я получил вопрос от моего подписчика и этот вопрос мне показался интересным.
Вопрос заключается в следующем. На компьютере скопилось много ценного материала, который был тщательно структурирован, то есть разложен по папкам.
Пользователь опасается, что по случайности или по неосторожности какие-то файлы или папки могут быть удалены или перенесены, из-за чего весь, возможно, многолетний труд пропадет.
И вопрос дословно звучал так: КАК МНЕ ЗАБЛОКИРОВАТЬ НУЖНУЮ ПАПКУ ОТ СТИРАНИЯ, С ВОЗМОЖНОСТЬЮ ДОПОЛНЕНИЯ?
Есть довольно простой способ, который позволит предотвратить случайное удаление важных для вас файлов, но при этом не исключает возможность добавления информации. И самое приятное заключается в том, что все это можно организовать средствами Windows без привлечения сторонних программ.
Дело в том, что для каждого файла или папки в Windows можно определить правила, по которым с этим объектом будут работать пользователи, программы или сама операционная систем.
Итак, у нас есть папка с файлами, которую необходимо защитить от случайного удаления. Щелкаем правой кнопкой мыши на ней и из контекстного меню выбираем пункт Свойства. Затем переключаемся на вкладку Безопасность и нажимаем на кнопку Дополнительно.
В открывшемся окне нужно добавить новое правило, нажав на соответствующую кнопку Добавить.
В следующем окне нужно задать разрешения для нашей папки. Пока здесь все опции неактивны. Нажимаем на ссылку Выберите субъект.
Появится еще одно окно, в котором можно нажать на Дополнительно.
Далее нажимаем Поиск, а затем выбираем из результатов поиска вариант Все и нажимаем OK.
Сейчас мы определили субъект, то есть для кого будут действовать данные правила. Так как мы выбрали Все, то правила будут касаться всех пользователей, работающих на компьютере, а также и саму операционную систему.
После этого станут доступны настройки разрешений для нашей папки.
В выпадающем списке Тип есть два пункта — Разрешить и Запретить. Мы хотим запретить удаление, поэтому выбираем соответсвующий пункт.
Далее указываем, к чему будут применяться заданные разрешения, а точнее запреты. Для нас важна папка и все в ней находящиеся файлы, поэтому выбираем Для этой папки, её подпапок и файлов.
Ниже находятся разрешения. Нажимаем на ссылку Отображение дополнительных разрешений и список значительно расширится. Чтобы обеспечить защиту файлов и папок оставляем только Удаление подпапок и файлов и Удаление. После этого нажимаем ОК, для сохранения изменений.
Применяем наши настройки и появится окно, в котором нужно подтвердить желание применить эти настройки.
При этом в защищенную папку можно копировать информацию, то есть в ней можно создавать, например, новые папки и копировать в нее новые файлы. Удалить или переместить содержимое папки не получится.
Для снятия данных ограничений нужно удалить добавленное нами правило. То есть снова вызываем контекстное меню на папке, выбираем Свойства и на вкладке Безопасность щелкаем по кнопке Дополнительно. В списке находим заданное нами правило и удаляем его. После этого защита с папки будет снята и ее снова можно будет удалить.
Составляющей обеспечения безопасности в операционной системе является обеспечение запрета удаления файлов или директорий. Эти меры предполагают сокрытие, запрет редактирования, просмотра или добавление разрешающих прав на обработку файловых объектов.
Создано большое число программных продуктов, призванных организовать защиту файлов, папок, но чаще они разрешают задачу удаления файлов комплексно, делая их скрытыми или запрещая доступ.
Содержание статьи
Все каталоги, файлы, процессы в Виндовс создает определенный юзер. Создатели Windows постарались разработать такую систему защиты, что у каждого юзера имеется вполне конкретный кейс прав. Этот кейс содержит опции запрещающего или разрешающего характера для манипулирования процессами, файловыми объектами.
Есть возможность осуществить запрет на уровне учетной записи. Соорудив, например, директорию или файл в администраторской учетке с одновременным открытием доступа на уровне гостевых учеток, — оставив им права записи, чтения, перемещения. Однако чаще нужно сделать запрет на уровне текущей (собственной) учетной записи.
Автор также рекомендует:
Нам нужно обратиться к системе безопасности Виндовс. Этот способ предполагает, что файловой системой диска расположения объекта выбрана изначально NTFS. Именно она предоставляет механизм распределения запрещающих и разрешающих опций для всех юзеров. FAT-системы подобных разграничений предложить не могут.
Более того, накладываемые ограничения касаются не самого объекта, а его расположения. Если его местоположение окажется изменено, то и доступ возобновится. Нужно понимать также, что опции запрещающего характера имеют высший приоритет в сравнении с разрешающими, поэтому если выбраны одинаковые настройки разрешения и запрета, то первыми исполняются именно права запрета.
Для начала запретим удаление определенному юзеру
Однако такое ограничение окажется шире, так как придется ограничивать полный доступ.
Первым делом откроем контекстное меню выбранного файла и отыщем в нем пункт свойств.
В открывшемся окошке пройдем на вкладку «Безопасность».
В поле групп и пользователей выберем нужного юзера.
Нажмем кнопочку «Изменить» и, в появившемся окне, в списке разрешений групп установим флажки запрещающих настроек.
Теперь сохраним сделанные изменения.
Продолжим выполнение операции
Теперь, видим, что у нас появились галочки у запретительных опций
Так, мы установим ограничения на полный доступ, которые также включают запрет на удаление объекта.
Попытка открыть файл изображения из запрещенного размещения. Теперь попробуем его удалить.
Соглашаемся с предупреждением
Однако выскакивает следующее окошко. Жмем «Продолжить».
Система все равно не разрешает удалить объект.
Запрещаем удаление большого количества объектов
Тот же механизм ограничений можно наложить на большое число объектов, расположенных в единой директории. При этом запрет можно наложить для всех юзеров системы. Такого рода ограничение (для всех) можно проделать и для отдельно взятого файла. В этом случае нам понадобится добавить новую пользовательскую группу («Все»). Затем, понадобится проставить флажки запретительных опций.
Вновь проходим на вкладку безопасности
Нажмем кнопочку «Дополнительно», чтобы открылось окошко расширенных настроек.
Затем выбираем «Изменить разрешения»:
В этом окне нужно выбрать «Добавить».
В окошке выбора групп и пользователей напишем новую категорию «Все» и проверим имена.
После этой процедуры система покажет размещение, для которого в данный момент исполняются ограничения. Далее, нужно лишь нажимать «Ок» и соглашаться с всплывающими предупреждениями.
Соглашаемся продолжить выполнение операции
Как видим, у нас появилась новая группа с особыми правами.
Здесь эти особые права также видны.
Попытаемся что-нибудь удалить из этого каталога.
Соглашаемся с перемещением в корзину.
Однако видим знакомое окошко, требующее повышения прав.
Система немного думает…
Однако затем сообщает, что возможности удалить файл из этого размещения нет.
Создано множество программных инструментов для ограничения пользовательского доступа к объектам файловой системы. Однако Виндовс располагает встроенными собственными инструментами. Файловая система NTFS позволяет задать ограничительные настройки для размещения конкретного юзера или для всех расположений сразу. При этом такие ограничения могут запретить полный доступ или только удаление одного или множества каталогов и файлов.
Запрет удаления пользовательских папок на файловом ресурсе
При задании прав доступа к файлам и каталогам, например на файловой шаре, где каждый пользователь имеет свою папку, хочется ограничить права владельцев этих папок, чтобы они, например, не смогли вдруг удалить всю свою папку.
Для этого можно задать ACL на родительской папке, запрещающее операцию удаления. Создадим ее для Everyone, запретим операцию Delete, и применим это правило только для папок пользователей, т.е. не будем его распространять на более низкие уровни иерархии.
Однако, если на родительской папке у вас задано правило, например, для всех пользователей домена (Domain Users или Users), разрешающее им полный доступ Full Access (что в принципе не рекомендуется), то в этом случае пользователи сохранят возможность удаления папок, несмотря на запрещающее правило.
Почему так происходит? Казалось бы, запрещающее правило (Deny) обладает преимуществом перед разрешающими правилами (Allow), в случае, если оба типа правил применяются через наследование (это также справедливо, если оба правила указаны явно в DACL).
Просто в этом случае, пользователи получат право удаления папки вследствие наличия у них права Delete subfolders and files, которым они обладают в соответствии с DACL родительской папки.
Если же мы уберем права Full Control (которые по умолчанию включают в себя Delete subfolders and files) и оставим только Change, то пользователи потеряют право удаления папки, как мы и задумывали.
Рассмотрим еще один частный случай.
Если в списке контроля доступа родительской папки указано право Full Control для создателя папки, CREATOR OWNER для дочерних файлов и папок, то пользователь, создавший папку, автоматически получит полные права для этой папки.
Однако это не совсем так.
Удалить папку он все-таки не сможет, так как для него по-прежнему действует правило, запрещающее удаление, наследуемое от родительской папки.
Но ведь он обладает полными правами на папку, включая право Delete subfolders and files.
Так в том то и дело, что это право дает ему возможность удалять папки и файлы, входящие в созданную им, дочернюю, папку. А удалить саму дочернюю папку он не может, так как он не обладает правом Delete subfolders and files для родительской папки.
Следствием этого является также и то, что ему будет отказано и в праве переименования папки, так как процесс переименования фактически состоит из удаления объекта файловой системы и создания его с новым именем.
Однако все эти возможности будут доступны администраторам, естественно в случае, если в DACL родительской папки вы дали группе администраторов полные права. В это случае они будут пользоваться тем самым правом Delete subfolders and files, определенным для родительской папки.
Здесь есть еще одна деталь.
Права Full Control, определенные для создателя папки фактически наследуются от родительской папки, также как и правило, запрещающее операцию удаления.
В этом случае можно считать, что оба правила определены на одном уровне – и правило Allow, и правило Deny наследуются от вышестоящих папок. В этом случае правило Deny обладает приоритетом по отношению к правилу Allow.
Однако, если пользователь, создавший папку добавит в ее DACL явную запись, разрешающую ему операцию удаления – а он сможет это сделать, так как обладает правом Full Control не эту папку – то он получит возможность как переименовать ее, так и удалить.
Происходит это потому, что явно указанные записи обладают приоритетом, перед унаследованными от вышестоящих папок.
То есть получается, что явно указанное разрешающее правило (Allow) переопределяет унаследованное запрещающее правило (Deny).
Если же мы укажем явно определенное правило Deny для этого каталога, то ото будет обладать приоритетом по отношению как к унаследованным правилам (Allow или Deny), так и по отношению к явно указанным правилам Allow.
Но ведь можно пойти гораздо более простым путем и для обеспечения сохранности файлов просто запретить их удаление. И проще всего это можно сделать, применив возможности используемой операционной системы, не прибегая к установке дополнительных программ такого направления.
Эта статья содержит описание управления доступом в операционных системах Windows 8, Windows Server 2012 и Windows RT.
Без особой необходимости не увлекайтесь настройками параметров доступа! Можно так дорегулироваться, что потом сложно будет самому открыть свои же папки!
Для изменения настройки параметров доступа необходимо:
Обладать правами администратора компьютера ( панель управления → учетные записи пользователей ).
Проверить используемую файловую систему. Нажать правой кнопкой мыши на выбранный вами диск и открыть Свойства . Если у Вас файловая система NTFS, то она поддерживает разделение прав доступа:
Правой кнопкой мыши сделайте щелчок по файлу, который желаете защитить и выберите Свойства . В открывшемся окне выберите вкладку Безопасность . В верхней части обратите внимание на заголовок Группы или пользователи . Выберите группу Пользователи :
Жмите кнопку Изменить и меняйте разрешения для группы Пользователи . Выбирайте нужный вариант. При желании можно выбрать полный запрет доступа:
Файл ни открыть, ни повредить или удалить не удастся. При попытке открытия будет появляться предупреждение:
Возвращение файла (папки)
2. Если Вы выбирали вариант Полный запрет , то при попытке вернуть права и при открытии вкладки Безопасность , может открыться окно в котором пишут, что нам нужно получить разрешение на чтение. Жмем кнопку Дополнительно :
3. Открывается окно, читаем информацию на вкладке Разрешения , жмем кнопку Продолжить :
5. Во вновь открывшемся окне в самом верху меняем тип: Запретить на Разрешить и смотрим, чтобы стояли все галки в Общих разрешениях и жмем везде ОК и Применить :
Файл или папка стали обычными, послушными, отвечают на все производимые действия с ними.
Если при открытии вкладки Безопасность сначала всё происходит как в пунктах 2 и 3 , а при нажатии кнопки Продолжить далее может открыться такое окно, где предлагается изменить владельца файла:
Нажимаем ссылку Изменить и попадаем в окошко выбора, где нужно ввести имена выбираемых объектов. Пишем: Все и жмем OK :
«Под занавес» приходит в голову мысль: и кто эту всю «лабуду» придумал? Но, она «имеет место быть», как говорят и, видимо, кому-то это окажется нужным. Спасибо за внимание и терпение. Не судите строго! До скорого свидания! Л.М.
Читайте также: