Доступ к ресурсам компьютера что это

Обновлено: 15.01.2025

В этом разделе для ИТ-специалистов описывается управление доступом в Windows, который является процессом разрешения пользователям, группам и компьютерам доступа к объектам в сети или на компьютере. Ключевыми понятиями, которые составляют управление доступом, являются разрешения, владение объектами, наследование разрешений, права пользователей и аудит объектов.

Описание компонента

Компьютеры с поддерживаемой версией Windows могут управлять использованием системных и сетевых ресурсов с помощью взаимосвязанных механизмов проверки подлинности и авторизации. После проверки подлинности пользователя операционная система Windows использует встроенные технологии авторизации и управления доступом для реализации второго этапа защиты ресурсов: определения того, имеет ли пользователь с проверкой подлинности правильные разрешения на доступ к ресурсу.

Общие ресурсы доступны пользователям и группам, кроме владельца ресурса, и они должны быть защищены от несанкционированного использования. В модели управления доступом пользователи и группы (также именуемые директорами безопасности) представлены уникальными идентификаторами безопасности (SID). Им назначены права и разрешения, которые информируют операционную систему о том, что может сделать каждый пользователь и группа. У каждого ресурса есть владелец, который предоставляет разрешения директорам безопасности. Во время проверки контроля доступа эти разрешения проверяются, чтобы определить, какие принципы безопасности могут получить доступ к ресурсу и каким образом они могут получить к нему доступ.

Принципы безопасности выполняют действия (в том числе чтение, записи, изменение или полный контроль) на объектах. Объекты включают файлы, папки, принтеры, ключи реестра и объекты служб домена Active Directory (AD DS). Общие ресурсы используют списки управления доступом (ACLs) для назначения разрешений. Это позволяет руководителям ресурсов применять управление доступом следующими способами:

Отказ в доступе к несанкционированным пользователям и группам

Установите четко определенные ограничения доступа, предоставляемого уполномоченным пользователям и группам

Владельцы объектов обычно выдают разрешения группам безопасности, а не отдельным пользователям. Пользователи и компьютеры, добавленные в существующие группы, принимают разрешения этой группы. Если объект (например, папка) может удерживать другие объекты (например, подмостки и файлы), он называется контейнером. В иерархии объектов связь между контейнером и его контентом выражается, ссылаясь на контейнер в качестве родительского. Объект в контейнере называется ребенком, и ребенок наследует параметры управления доступом родителя. Владельцы объектов часто определяют разрешения для контейнерных объектов, а не отдельных детских объектов, чтобы облегчить управление управлением доступом.

Каждый пользователь домашней локальной сети может открыть доступ к дискам своего компьютера, что позволит просматривать, изменять и сохранять файлы на этих дисках, создавать и удалять папки, воспроизводить хранящиеся на компьютере музыкальные файлы, устанавливать с жесткого диска различные программы и т.д. Кроме того, нередко требуется открыть общий доступ к оптическому накопителю DVD, сетевому жесткому диску, музыкальному центру, подключенному к сети и любым другим сетевым устройствам.

В операционной системе Windows пользователь любого компьютера, подключенного к сети, может предоставить доступ к своим дискам, папкам или файлам. Пользователи, работающие за другими компьютерами, могут после этого пользоваться предоставленными ресурсами.

Чтобы открыть другим пользователям локальной сети доступ к дискам вашего компьютера, выполните такие действия.

1. Выберите команду Пуск>Мой компьютер.

2. Щелкните правой кнопкой мыши на значке диска, к которому нужно открыть доступ по сети, и выберите в появившемся меню команду Свойства.

3. В открывшемся окне Свойства: локальный диск перейдите на вкладку Доступ.

4. В разделе Сетевой общий доступ и безопасность установите флажок Открыть общий доступ к этой папке, после чего введите в поле Имя общего ресурса сетевое имя диска. Имя будет отображаться в папке Сетевое окружение для других пользователей локальной сети.

5. Чтобы пользователи сети получили полный доступ к диску и могли создавать, удалять, перемещать и переименовывать файлы на жестком диске, установите флажок Разрешить изменение файлов по сети. Когда флажок не установлен, пользователи смогут обращаться к диску в режиме Только чтение.

6. Щелкните на кнопке OK.

Теперь диск, к которому открыт доступ из локальной сети, будет показан в папке Мой компьютер. Значок диска будет дополнен изображением открытой ладони.

Не открывайте общий доступ к диску или разделу, в котором установлена Windows XP. Если кто-то из пользователей локальной сети случайно или намеренно удалит, переименует или переместит системные файлы, вы останетесь без работоспособной операционной системы, которую, скорее всего, придется переустанавливать заново.

К диску D: открыт общий доступ.

Несмотря на то что общий доступ можно открыть ко всему диску или дисковому разделу, открывать такой доступ, как правило, не рекомендуется. Пользователи локальной сети, получив столь широкие полномочия, смогут случайно или намеренно удалить, переименовать или изменить файлы, предназначенные только для личного использования. Наилучший вариант - открывать доступ не к диску в целом, а к одной папке, предназначенной для совместного использования. Такой папке можно назначить специальное сетевое имя.

В Windows XP уже есть папки, к которым изначально открыт общий доступ. Одна такая папка называется Общие документы. В ней расположены общие подпапки Видео (общее), Музыка (общая) и Рисунки (общие). Эта папка расположена по адресу C:\Documents and Settings\All Users\Документы и специально создана для обмена данными по сети. Если же такая папка вам не нравится, то любую другую папку на компьютере также можно сделать общей.

1. Откройте окно Мой компьютер и перейдите к нужному диску, после чего создайте папку с любым именем, которую нужно сделать доступной из локальной сети. Кроме того, можно выбрать уже существующую папку.

2. Щелкните на значке папки правой кнопкой мыши и выберите команду Свойства.

3. В открывшемся окне Свойства перейдите на вкладку Доступ.

4. В разделе Сетевой совместный доступ и безопасность установите флажок Открыть общий доступ к этой папке. Введите в поле Сетевой ресурс сетевое имя папки (допускается любое название).

5. Чтобы пользователи получили полный доступ к сети, установите флажок Разрешить изменение файлов по сети.

Рассказываем, как настроить доступ к файлам и папкам с любого компьютера вашей сети.

Для предоставления общего доступа к файлу нужно, чтобы все компьютеры были подключены к одной и той же сети. Windows предлагает два варианта открытия доступа — обычный и расширенный, а также функцию «Домашняя группа». Все это немного сбивает с толку. Мы расскажем об обычном общем доступе, так как он более унифицирован для разных версий операционной системы.

Открытие общего доступа

Щелкните правой кнопкой мыши по папке, доступ к которой нужно открыть, и выберите «Свойства | Доступ | Общий доступ». В следующем диалоговом окне «Доступ к сети» установите разрешения для выбранных пользователей.

Открытие общих файлов

Чтобы с другого компьютера домашней сети («клиента») открыть общие файлы, хранящиеся на ПК, где разрешен доступ к общим ресурсам («сервер»), запустите Проводник Windows и перейдите в раздел «Сеть». В результате короткого поиска в нем должно появиться имя сервера. В противном случае введите в адресную строку Проводника два обратных слеша и его имя — например, «\\ИМЯКОМПЬЮТЕРА».

В зависимости от настроек от вас может потребоваться ввести логин и пароль к учетной записи пользователя на сервере или общие файлы отобразятся сразу же, и вам нужно будет в зависимости от предоставленных разрешений при открытии ввести данные для входа. Можно установить флажок, чтобы сохранить данные для входа. Чтобы в дальнейшем быстрее открывать общие файлы, можно создать ярлык папки на Рабочем столе или закрепить его на Панели быстрого доступа.

Подключение сетевого диска

На клиенте легко можно подключить внешний общий ресурс как локальный диск с буквой, чтобы, например, надолго установить общую коллекцию музыки источником мультимедиа для программы-проигрывателя. В Проводнике правой кнопкой мыши щелкните по общему ресурсу и выберите «Подключить сетевой диск…».

На других компьютерах общий ресурс будет отображаться в разделе «Сеть» Проводника и может быть подключен как сетевой диск

Опция «Восстанавливать подключение при входе в систему» полезна, если сервер работает большую часть времени. Если общие файлы нужны только периодически на некоторое время (например, чтобы время от времени создавать резервные копии для ноутбука), можно с помощью текстового редактора написать небольшой скрипт, сохранить его как пакетный файл CMD и при необходимости запускать его двойным щелчком.

Небольшой скрипт может автоматизировать подключение и отключение сетевых дисков

В нашем примере мы подключаем диск Z: к общей папке «Screenshots» на сервере «DEEPTHOUGHT» и запускаем окно Проводника с диском. Нажатие любой клавиши в окне пакетного файла приводит к отключению сетевого диска (при необходимости нужно подтвердить нажатием клавиши «J»), следующее нажатие на кнопку закрывает окно.

Чтобы отобразить список всех общих файлов на вашем компьютере, из стартового меню в «Средствах администрирования Windows» запустите «Управление компьютером» и выберите «Общие папки | Общие ресурсы». В целях безопасности отключите общий доступ к файлам, которые больше не используются. Самый быстрый способ — щелкнуть в окне управления компьютером правой кнопкой по ресурсу.

Кстати, скоро выходит обновление Windows. Что нас ждет в Redstone 5, читайте здесь.

Поиск компьютеров и рабочих групп в сети возможен с помощью поисковой системы Windows XP. Зайдите в "Сетевое окружение" и нажмите на клавишу F3, затем заполните поле "Введите имя искомого компьютера или его IP адрес". Мы будем искать, например, второй ПК в рабочей группе 110 ( рис. 16.1).

Настройка_11 общего доступа к сетевым ресурсам

В этом примере мы сделаем общей папку Мои документы.

Простой общий доступ к файлам

Правой кнопкой мыши щелкните на папке Мои документы и выполните команду Свойства-Доступ. На вкладке Доступ установите флажки как на рис. 16.2.

Рис. 16.2. В окне Мои документы активна вкладка Доступ

После закрытия данного окна с новыми настройками на значке папки Мои документы появиться рука, что означает, что этот ресурс сети – общий.

Расширенный общий доступ к файлам

Обычно достаточно режима "Простой общий доступ к файлам", однако, если требуется более серьёзное разграничение прав пользователей, то необходимо включить "Расширенный общий доступ", для этого, в любом окне нужно выбрать: Сервис-Свойства папки-Вид, и убрать галочку с параметра "Использовать простой общий доступ к файлам" ( рис. 16.3).

Снова для папки Мои документы выполняем команду Свойства – Доступ ( рис. 16.4).

Теперь мы видим новый элемент - кнопку "Разрешения", которая задает пользователей, которым будет доступна данная папка ( рис. 16.5).

Что может быть проще, чем разграничить права на папку в NTFS? Но эта простая задача может превратиться в настоящий кошмар, когда подобных папок сотни, если не тысячи, а изменение прав к одной папке «ломает» права на другие. Чтобы эффективно работать в подобных условиях, требуется определенная договоренность, или стандарт, который бы описывал, как решать подобные задачи. В данной статье мы как раз и рассмотрим один из вариантов подобного стандарта.

Стандарт управления правами доступа к корпоративным файловым информационным ресурсам (далее – Стандарт) регламентирует процессы предоставления доступа к файловым информационным ресурсам, размещенным на компьютерах, работающих под управлением операционных систем семейства Microsoft Windows. Стандарт распространяется на случаи, когда в качестве файловой системы используется NTFS, а в качестве сетевого протокола для совместного доступа к файлам SMB/CIFS.

Информационный ресурс – поименованная совокупность данных, к которой применяются методы и средства обеспечения информационной безопасности (например, разграничение доступа).
Файловый информационный ресурс – совокупность файлов и папок, хранящихся в каталоге файловой системы (который называется корневым каталогом файлового информационного ресурса), доступ к которой разграничивается.
Составной файловый информационный ресурс – это файловый информационный ресурс, содержащий в себе один или несколько вложенных файловых информационных ресурсов, отличающихся от данного ресурса правами доступа.
Вложенный файловый информационный ресурс – это файловый информационный ресурс, входящий в составной информационный ресурс.
Точка входа в файловый информационный ресурс – каталог файловой системы, к которому предоставляется сетевой доступ (shared folder) и который используется для обеспечения доступа к файловому информационному ресурсу. Данный каталог обычно совпадает с корневым каталогом файлового информационного ресурса, но может быть и вышестоящим.
Промежуточный каталог – каталог файловой системы, находящийся на пути от точки входа в файловый информационной ресурс к корневому каталогу файлового информационного ресурса. Если точка входа в файловый информационный ресурс является вышестоящим каталогом по отношению к корневому каталогу файлового информационного ресурса, то она также будет являться промежуточным каталогом.
Группа доступа пользователей – локальная или доменная группа безопасности, содержащая в конечном счете учетные записи пользователей, наделенные одним из вариантов полномочий доступа к файловому информационному ресурсу.

1. Доступ разграничивается только на уровне каталогов. Ограничение доступа к отдельным файлам не проводится.
2. Назначение прав доступа выполняется на базе групп безопасности. Назначение прав доступа на отдельные учетные записи пользователей не проводится.
3. Явно запрещающие полномочия доступа (deny permissions) не применяются.
4. Разграничение прав доступа проводится только на уровне файловой системы. На уровне сетевых протоколов SMB/CIFS права не разграничиваются (Группа «Все» – полномочия «Чтение/Запись» / Everyone – Change).
5. При настройке сетевого доступа к файловому информационному ресурсу в настройках SMB/CIFS устанавливается опция «Перечисление на основе доступа (Access based enumeration)».
6. Создание файловых информационных ресурсов на рабочих станциях пользователей недопустимо.
7. Не рекомендуется размещать файловые информационные ресурсы на системных разделах серверов.
8. Не рекомендуется создавать несколько точек входа в файловый информационный ресурс.
9. Следует по возможности избегать создание вложенных файловых информационных ресурсов, а в случаях, когда имена файлов или каталогов содержат конфиденциальную информацию, это вовсе недопустимо

Доступ пользователей к файловому информационному ресурсу предоставляется путем наделения их одним из вариантов полномочий:

• Доступ «Только на чтение (Read Only)».
• Доступ «Чтение и запись (Read & Write)».

Имена групп доступа пользователей формируются по шаблону:

FILE-Имя файлового информационного ресурса–аббревиатура полномочий

Имя файлового информационного ресурса
должно совпадать с UNC именем ресурса или состоять из имени сервера и локального пути (если сетевой доступ к ресурсу не предоставляется). При необходимости в данном поле допускаются сокращения. Символы «\\» опускаются, а «\» и «:» заменяются на «-».

Аббревиатуры полномочий:

• RO — для варианта доступа «Только на чтение (Read Only)»
• RW — для варианта доступа «Чтение и запись (Read & Write)».

Пример 2
Имя группы доступа пользователей, имеющих полномочия «Чтение и запись» для файлового информационного ресурса, размещенного на сервере TERMSRV по пути D:\UsersData, будет:
FILE-TERMSRV-D-UsersData-RW

Таблица 1 – Шаблон NTFS-прав доступа для корневого каталога файлового информационного ресурса.

Субъекты	Права	Режим наследования
Наследование прав доступа от вышестоящих каталогов отключено
А) Обязательные права
Специальная учетная запись: «СИСТЕМА (SYSTEM)»	Полный доступ (Full access)	Для этой папки, ее подпапок и файлов (This folder, subfolders and files)
Локальная группа безопасности: «Администраторы (Administrators)»	Полный доступ (Full access)	Для этой папки, ее подпапок и файлов (This folder, subfolders and files)
Б.1) Полномочия «Только чтение (Read Only)»
Группа доступа пользователей: «FILE-Имя ресурса-RO»	Базовые права: а) чтение и выполнение (read & execute); б) список содержимого папки (list folder contents); в) чтение (read);	Для этой папки, ее подпапок и файлов (This folder, subfolders and files)
Б.2) Полномочия «Чтение и запись (Read & Write)»
Группа доступа пользователей: «FILE-Имя ресурса-RW»	Базовые права: а) изменение (modify); б) чтение и выполнение (read & execute); в) список содержимого папки (list folder contents); г) чтение (read); д) запись (write);	Для этой папки, ее подпапок и файлов (This folder, subfolders and files)
Б.3) Другие полномочия при их наличии
Группа доступа пользователей: «FILE-Имя ресурса-аббревиатура полномочий»	Согласно полномочиям	Для этой папки, ее подпапок и файлов (This folder, subfolders and files)

Табилца 2 – Шаблон NTFS-прав доступа для промежуточных каталогов файлового информационного ресурса.

Субъекты	Права	Режим наследования
Наследование прав доступа от вышестоящих каталогов включено, но если данный каталог является вышестоящим по отношению к файловым информационным ресурсам и не входит ни в один другой файловый информационный ресурс, то наследование отключено
А) Обязательные права
Специальная учетная запись: «СИСТЕМА (SYSTEM)»	Полный доступ (Full access)	Для этой папки, ее подпапок и файлов (This folder, subfolders and files)
Локальная группа безопасности: «Администраторы»	Полный доступ (Full access)	Для этой папки, ее подпапок и файлов (This folder, subfolders and files)
Б.1) Полномочия «Проход через каталог (TRAVERSE)»
Группы доступа пользователей информационных ресурсов, для которых этот каталог является промежуточным	Дополнительные параметры безопасности: а) траверс папок / выполнение файлов (travers folder / execute files); б) содержимое папки / чтение данных (list folder / read data); в) чтение атрибутов (read attributes); в) чтение дополнительных атрибутов (read extended attributes); г) чтение разрешений (read permissions);	Только для этой папки (This folder only)

1. Создаются группы доступа пользователей. Если сервер, на котором размещен файловый информационный ресурс, является членом домена, то создаются доменные группы. Если нет, то группы создаются локально на сервере.
2. На корневой каталог и промежуточные каталоги файлового информационного ресурса назначаются права доступа согласно шаблонам прав доступа.
3. В группы доступа пользователей добавляются учетные записи пользователей в соответствии с их полномочиями.
4. При необходимости для файлового информационного ресурса создается сетевая папка (shared folder).

В. Изменение доступа пользователя к файловому информационному ресурсу
Учетная запись пользователя перемещается в другую группу доступа пользователей в зависимости от указанных полномочий.

Г. Блокирование доступа пользователя к файловому информационному ресурсу
Учетная запись пользователя удаляется из групп доступа пользователей файлового информационного ресурса. Если работник увольняется, то членство в группах не меняется, а блокируется учетная запись целиком.

1. Регистрируется вложенный файловый информационный ресурс (согласно процессу А)
2. В группы доступа пользователей вложенного файлового информационного ресурса добавляются группы доступа пользователей вышестоящего составного файлового информационного ресурса.

1. Регистрируется вложенный файловый информационный ресурс (согласно процессу А)
2. В группы доступа пользователей создаваемого информационного ресурса помещаются те учетные записи пользователей, которым требуется предоставить доступ.

1. Организационными (или техническими, но не связанными с изменением прав доступа к каталогам файловой системы) мерами блокируется доступ пользователей к данному и всем вложенным файловым информационным ресурсам.
2. К корневому каталогу файлового информационного ресурса назначаются новые права доступа, при этом заменяются права доступа для всех дочерних объектов (активируется наследие).
3. Перенастраиваются права доступа для всех вложенных информационных ресурсов.
4. Настраиваются промежуточные каталоги для данного и вложенных информационных ресурсов.

Рассмотрим применение данного стандарта на примере гипотетической организации ООО «ИнфоКриптоСервис», где для централизованного хранения файловых информационных ресурсов выделен сервер с именем «FILESRV». Сервер работает под управлением операционной системы Microsoft Windows Server 2008 R2 и является членом домена Active Directory с FQDN именем «domain.ics» и NetBIOS именем «ICS».

Подготовка файлового сервера
На диске «D:» сервера «FILESRV» создаем каталог «D:\SHARE\». Этот каталог будет единой точкой входа во все файловые информационные ресурсы, размещенные на данном сервере. Организуем сетевой доступ к данной папке (используем апплет «Share and Storage Management»):

Создание файлового информационного ресурса
Постановка задачи.
Пусть в составе организации ООО «ИнфоКриптоСервис» имеется Отдел разработки информационных систем в составе: начальника отдела Иванова Сергея Леонидовича ([email protected]), специалиста Маркина Льва Борисовича ([email protected]), и для них нужно организовать файловый информационный ресурс для хранения данных подразделения. Обоим работникам требуется доступ на чтение и запись к данному ресурсу.

• «FILE-FILESRV-SHARE-Отд. разр. ИС-RO»
• «FILE-FILESRV-SHARE-Отд. разр. ИС-RW»

Предоставление доступа пользователю к файловому информационному ресурсу
Постановка задачи.
Предположим, в отдел разработки приняли еще одного работника – специалиста Егорова Михаила Владимировича ([email protected]), и ему, как и остальным работникам отдела, требуется доступ на чтение и запись к файловому информационному ресурсу отдела.

Решение.
Учетную запись работника необходимо добавить в группу «FILE-FILESRV-SHARE-Отд. разр. ИС-RW»

Создание вложенного информационного ресурса. Расширение доступа
Постановка задачи.
Предположим, Отдел разработки информационных систем решил улучшить качество взаимодействия с Отделом маркетинга и предоставить руководителю последнего — Кругликовой Наталье Евгеньевне ([email protected]) — доступ на чтение к актуальной документации на продукты, хранящейся в папке «Документация» файлового информационного ресурса Отдела разработки информационных систем.

Решение.
Для решения данной задачи необходимо сделать вложенный ресурс «\\FILESRV\share\Отдел разработки информационных систем\Документация», доступ к которому на чтение и запись должен быть (остаться) у всех пользователей, имевших доступ к «\\FILESRV\share\Отдел разработки информационных систем\ и добавиться доступ на чтение для пользователя Кругликовой Натальи Евгеньевне ([email protected])

• «FILE-FILESRV-SHARE-Отд. разр. ИС-Документация-RO»
• «FILE-FILESRV-SHARE-Отд. разр. ИС-Документация-RW»

Теперь, если Кругликова Наталья Евгеньевна ([email protected]) обратится по ссылке «\\FILESRV\share\Отдел разработки информационных систем\Документация», то она сможет попасть в интересующую ее папку, но обращаться по полному пути не всегда удобно, поэтому настроим сквозной проход к данной паке от точки входа «\\FILESRV\share\» («D:\SHARE\»). Для этого настроим права доступа на промежуточные каталоги «D:\SHARE\» и «D:\SHARE\Отдел разработки информационных систем\».

Проведем настройку «D:\SHARE\»:

Дамп NTFS разрешений, полученных командой cacls:
ICS\FILE-FILESRV-SHARE-Отд. разр. ИС-RO:R
ICS\FILE-FILESRV-SHARE-Отд. разр. ИС-RW:R
ICS\FILE-FILESRV-SHARE-Отд. разр. ИС-Документация-RO:R
ICS\FILE-FILESRV-SHARE-Отд. разр. ИС-Документация-RW:R
NT AUTHORITY\SYSTEM:(OI)(CI)F
BUILTIN\Administrators:(OI)(CI)F

и «D:\SHARE\Отдел разработки информационных систем»:

Дамп NTFS разрешений, полученных командой cacls:
ICS\FILE-FILESRV-SHARE-Отд. разр. ИС-Документация-RO:R
ICS\FILE-FILESRV-SHARE-Отд. разр. ИС-Документация-RW:R
ICS\FILE-FILESRV-SHARE-Отд. разр. ИС-RO:(OI)(CI)R
ICS\FILE-FILESRV-SHARE-Отд. разр. ИС-RW:(OI)(CI)C
NT AUTHORITY\SYSTEM:(OI)(CI)F
BUILTIN\Administrators:(OI)(CI)F

Создание вложенного информационного ресурса. Сужение доступа
Постановка задачи
В целях организации резервного копирования наработок Отдела разработки информационных систем начальнику отдела Иванову Сергею Леонидовичу ([email protected]), в рамках файлового информационного ресурса отдела, понадобилась сетевая папка «Архив», доступ к которой был бы только у него.

Решение.
Для решения данной задачи в файловом информационном ресурсе отдела требуется сделать вложенный ресурс «Архив» («\\FILESRV\share\Отдел разработки информационных систем\Архив»), доступ к которому предоставить только начальнику отдела.

Читайте также:

  
• Как поставить загрузки в мой компьютер
  
• Avast internet security как настроить соединение vpn
  
• Управляющее устройство на базе компьютера типа notebook
  
• Чем открыть файл rcp
  
• Как стримить с ps4 в тик ток