הרשאות NTFS על תיקיות וקבצים << קורס אונליין חינם
Menu
עברית Русский Srbija العربية
מכללת פרקטיקיו
קורסים אונליין בעברית
עם הסרטונים שלנו פשוט להיות מקצוען

הרשאות NTFS על תיקיות וקבצים

קורסים למנהלי רשת שלב 1 - טכנאי מחשבים - Help Desk שלב 2 - מנהל רשת מוסמך מיקרוסופט שלב 3 -מומחה בתקשורת מוסמך סיסקו שלב 4 - מומחה לינוקס ו-DevOps התמחות בשרתי דואר ווירטואליזציה התמחות ב-Storage התמחות במסדי נתונים - SQL התמחות בסייבר האקינג ואבטחת מידע קורסים נוספים למנהלי רשת
קורסי תכנות שלב 1 - יסודות התכנות שלב 2 - בניית אתרים צד שרת - Back End שלב 3 - בניית אתרים צד לקוח - Front End שלב 4 - פיתוח אפליקציות לאנדרואיד ואייפון התמחות במסדי נתונים – SQL קורסים מתקדמים בדיקות תוכנה - QA









הרשאות מתקדמות של NTFS












כשאנו רוצים לראות את ההרשאות שיש ל-usersgroup על תיקיה מסוימת, נעשה מקש ימני על התיקיה ?נסמן propertirs ?נסמן security .


נלחץ על advance ?נסמן chang permissions ?נסמן usergroup ? edit ואז אנו נראה את ההרשאות בפירוט יותר ובהרחבה שיש על אותם usergroup. ובאותו חלון ,אפשר להגדיר למעלה ולסמן על מה הרשאות אלו תופסות – apply to


ואנו יכולים לסמן או על תיקיות,או על קבצים,על תת-תיקיות.


NTFS


Include inhertiale permissions from this objects perents


כלומר:אותה תת-תיקיה (תיקית ה-"ילד") שיושבת בתוך התיקיה הראשית(תיקיית-"אם") תקבל בהורשה את כל ההרשאות מהתיקיית אם שמעליה.


Replace all child object permissions with inheritable permissions from this object


כלומר:תוריש בתיקיה זו את ההרשאות שלה כרגע לכל התת-תיקיות שנמצאות מתחתיה ("הילדים " שלה),זאת אומרת לאפס ל "ילדיפ: שלה את ההרשאות ולהוריש להם את ההרשאות של תיקיית-האם.


Effective permissions


הכוונה היא: שאם user מסוים קיבל הרשאה read על תיקיה מסוימית למשל,אבל מצד שני הוא שייך לקבוצת administrators שיש להם full control על אותה תיקייה ,אז פה נכנס effective permissions שאומר:בסופו של דבר מה ההרשאות המצטברות הנכונות שיש לאותו user על אותה תיקייה.


Owner


הבעלים של הקובץ,היינו המשתמש שיצר את הקובץ ואותו owner ,רשאי לחלק הרשאות על הקובץתיקיה למשתמשים אחרים. ל administrators יש את האפשרות לשים משתמש אחר כבעלים של הקובץ כלומר:לגנוב בעלות .


במקרה והרשימה של ההרשאות על תיקיהקובץ ריקה ואין מי שיוכל להיכנס בכלל להגדיר הרשאות חדשות על התיקיה ,אז ה owner יוכל לגשת אליה(כמו במקרה חירום).


Auditing


מבצע תיעוד של גישה על הקובץתיקיה .


לדוגמא:מתעד ביומן האירועים של המחשב ,מי נכנס לקובץ מסוים,מי ביצע שינויים ועוד.


מקש ימני על תיקיהקובץ?נסמן properties ?נסמן advance ?ונסמן auditing ונסמן את 2 האפשרויות :)


אפשרות ראשונה:לתעד את כל תיקיות ה"אם" ואת כל תיקיות "הילדים"שלהם.


אפשרות שניה:אם אחת מתת-התיקיות ("הילדים"),שינה משהו בהגדרות(הרשאות)שלה,אז תאפס אותם,ושיקבלו את ההרשאות מתיקית ה "אם" שלהם.


auditing


auditing


דוגמא:לוחצים add (מסמנים על מי אני רוצה תיעוד משתמשקבוצה) ?באפשרות apply onto אנו נסמן על מה יבוצע התיעוד(תיקיה,תת-תיקיה,קבצים).


ונסמן באיזה פעולות שמשתמש או קבוצה עשו ,אני רוצה תיעוד:


לדוגמא:נסמן delete ונסמן write ונסמן על שתיהם faild


כלומר:אני אקבל תיעוד מי ניסה לגשת למה ואם הוא ניסה לבצע פעולת מחיקה ,או כתיבה ואפילו שהוא ניסה ולא הצליח ,אני אקבל על זה תיעוד.


או שלמשל אני יכול להגדיר במידה ויש לי קובץ סודי כלשהו ולסמן list folder/read data ולסמן על זה faild ואז אני יכול לראות ,מי ניסה לגשת אל הקובץ הסודי ולמחוק אותו למרות שלא הצליח ,אבל זה שהוא ניסה זה כבר מעורר חשד וזה היתרון במערכת תיעוד.


יש עוד אופציה לסמן שהיאapply this auditing entries to objects and/or containers with in the container only


כלומר:שים את ההוראה הזו שנתתי על כל מי שנמצא בתיקיה זו ובתיקיות הילדים של אותה תיקית האם.


יש לציין שבכדי שכל מערעת התיעוד הזו תעבוד אנו צריכים להפעיל את המנוע הזה דרך group policy


נסמן computer configuration ?נסמן windows settings ?נסמן security settings ?נסמן local policy ?נסמן audit policy ונלחץ על audit object access ונסמן successful ונסמן failed .


ואז נוכל לראות תיעוד על NTFS(מערכת קבצים) ביומן האירועים .


מה קורה כשמעבירים קבצים(או מעתיקים)


אז באמת כשאנחנו עושים copy או cut לקבצים מה קורה איתם מבחינת ההרשאות ,אז בואו נעשה סדר:


כשאנו מבצעים copy הקבצים מקבלים בהורשה את ההרשאות מתיקית האם שלהם ,כי זה נקרא: ליצור.,


כשאנו מבצעים move (cut )מכונן c לכונן d הקבצים גם מקבלים הרשאות בהורשה.


כשאנו מבצעים cut באותו כונן c הקבצים אינם מקבלים בהורשה ונישארים עם ההרשאות הישנות שלהם.


פקודה שאנו יכולים לבצע משורת הפקודה cmd לנתינת הרשאות על תיקיה היא icacls


Auditing- לסיכום היא:


מערכת תיעוד מובנית ב NTFS


חייבים להפעיל אותה דרך group policy


על כל תיקיה,שרוצים לתעד צריך לתת הוראות מפורשות:


איזו פעולה לתעד-קריאה כתיבהמחיקה או את כולן.


איזה משתמש,או איזה קבוצה נמצאת במעקב.


EFS


אנו צריכים להבין שגם עם מערכת אבטחה של NTFS עדיין יש לנו פירצה אבטחתית .


למשל מגיע איזה האקר ומכניס דיסק למכונה למשל erd disk שזה דיסק תיקון ושיחזור שניתן בחינם והוא עושה restart ועושה boot מ cd ומעלה את מערכת ההפעלה מה cdrom כשלמעשה אותו האקר עכשיו הוא "אדמיניסטרטור כל יכול" במערכת ההפעלה המינימליסטית שעל הcd (כך עקפנו את מערכת ההפעלה המותקנת במחשב כגון הרשאות גישה של NTFS ).


ואז אפשר יהיה לגשת לקבצים ולגנוב תוכן מתוכם.


השיטה היחידה שאפשר להגן על המחשב הוא:


להצפין את הדיסק הקשיח שלנו,שגם אם הוא ייגנב אי אפשר יהיה לפתוח אותו בשום אופן.


אחת השיטות היא הצפנת דיסק באמצעות EFS שזוהי מערכת הצפנת קבצים מובנית בתוך NTFS .


איך עושים:מסמנים קובץ מסוים ?מקש ימני propertirs ?נסמן advanced ?ונסמן encrypt contents to secure data ?ונלחץ ok


efs


efs


ואז נראה שהקובץ מוצפן(מסומן בצבעירוק)ואז גם להצפנה זאת יש מפתחות ומומלץ לעשות להם backup כדי לגבות את המפתחות שפותחים את ההצפנה למיקרה שהם ילכו לאיבוד.


אם נסמן properties על הקובץ המוצפן ?נסמן advanced ?נסמן details אנו נוכל לראות מי המשתמש או הקבוצה שרשאי לפתוח את הקובץ המוצפן(שיש לו את המפתח הסודי).


efs


ואז אם נכניס משתמש או קבוצה אחרים וניתן להם read על הקובץ ,הם יוכלו לפתוח את הקובץ אבל הם לא יצליחו להבין מה רשום שם,כי הקובץ הוא מוצפן ואין להם את המפתח הסודי שיכול לפתוח את ההצפנה.


חשוב לציין שאם משתמש מסוים יש לו קבצים מוצפנים והוא שינה את הסיסמה שלו בכוח


(איפוס בכוח - נסמן disk management ?נסמן local users and groups ?נסמן משתמש ומקש ימני set password )אזי אותו משתמש יאבד את המפתחות הסודיים שלו ולא יוכל לפתוח את הקבצים המוצפנים.


set password


set password


אך אם אותו משתמש יאפס סיסמה באופן מסודר(אופן מסודר-נלחץ cntrl+alt+delete ונסמן change passwprd )אזי אותו משתמש לא יאבד את המפתחות הסודיים שלו ויוכל לפתוח את הקבצים המוצפנים.


סיכום EFS


מצפין קבצים בדיסק(צבע ירוק).


מונע את האפשרות של גניבת מידע,גם במיקרה של boot מתוך cd .


למקרה חירום ניתן ליצור recovery agent .


פקודה להצפנה-cipher


תוכנת efs קיימת רק בגרסאות ultimate,professional,enterprise .


טכנולוגית bitlocker מצפינה את כל הכונן,אל אין לו יכולת הצפנה אישית לפי משתמש מסוים.


Branchcache


זוהי טכנולוגיה חדשה ב windows 7 שעובדת רק עם שרת 2008r2 ורק בגירסת ultimate,enterprise .


Branchcache שומר העתק מקומי של מידע מהשיתוף ,או מאתר אינטרנט ומאפשר לתחנות עבודה אחרות לקבל את המידע ממנו במקום לגשת לשרת המרוחק.(שם נוסף לטכנולוגיה זו proxy ).


שמירת העתקים בשרת בסניף המרוחק מחייב שרת 2008r2 ונקרא hosted cache mode


שמירת העתקים בתוך windows 7 נקרא Distributed cache mode


Branchcach נהיה פעיל אם עיכוב בין תחנה לשרת עולה על 80 מילישניות.


מחייב פורט 80 פתוח בתחנות העבודה ,או בשרת המחזיק cache .


יש service מובנה בווינדוס 7 בשם branchcache .


אין ממשק גראפי להגדרות,רק דרך NETSH או group policy .


פקודת NETSH BRANCHCACHE SHOW STATUS תראה לנו מה מצב ה branchcache במערכת שלנו.


דרך group policy


נסמן computer configuration ?נסמן administrative templates ?נסמן network ?נסמן branchcache ?נסמן turn on branch cache ?נסמן enabled ונפעיל את האופציה הזו בתחנת עבודה set branchcache distributed mode מה שאומר:שתחנת העבודה היא השרת שמחזיק ב branchcache .


אם יש לנו שרת מרכזי שמחזיק את כל המידע אנו נסמן set branchcache hosted cache mode ?נסמן enabled ?ונותנים כתובת של השרת המרכזי שמחזיק ב branchcache .


אנו יכולים להגדיר גם כמה עיכוב צריך להיות כדי ש branchcache יופעל configure branchcache for network file ?נסמן enabled .


ואפ שר גם להגדיר כמה אחוז מהדיסק הקשיח מידע של branchcache יתפוס set percentage of disk space used for client computer cache ?ונסמן enabed .


branchcache


סיכום זה נעשה על ידי רמי טראב

;
00:00-01:08 הקדמה.
01:08-09:30 הרשאות NTFS מתקדמות, הורשת הרשאות וסוגי הפעולות שנוכל לנהל.
09:30-12:58 Effective Pemissions-מנגנון חישוב ההרשאות, והסבר על Owner
12:58-29:30 הסבר על מנגנון התיעוד-Auditing ו-Event Viewer-יומן הארועים.
29:30-32:28 כיצד משפיעה העברה/העתקה של קבצים על הרשאות הקובץ והסבר על פקודת Icacls
32:28-34:07 סיכום בניים.
34:07-40:28  EFS - הצפנת קבצים, בטחון מידע ושיוך משימות לאירועים ביומן הארועים.
40:28-52:00 שימוש ב-ERD לטובת עקיפת מערכות האבטחה, גישה לקבצים מוגנים ושינוי סיסמאות משתמשים דרך קובץ ה-SAM
52:00-55:40 EFS - הצפנת קבצים, הסבר מעמיק והדגמה.
55:40-55:57 היחס בין סיסמת המשתמש לקבצים מוצפנים וכיצד לבצע שינוי סיסמה בצורה בטוחה.
55:57-01:03:55 הסבר נוסף על ERD , סיכום בניים לנושאים שנלמדו ופקודות DOS לטובת הצפנה.
01:03:55-01:04:53 הסבר על תהליך האתחול/העלאה של המחשב.
01:04:53-01:05:55 הדגמה לנסיון פריצה לקובץ מוצפן.
01:05:55-01:16:09 BranchCache - הסבר, דרישות קדם ואופן עבודה.;
סקר שוק נכון לתאריך – 01/09/2011
שיתוף - HomeGroup שיתוף תיקיות בין המחשבים - Share פתרון תקלות - בשיתוף תיקיות הרשאות NTFS על תיקיות וקבצים שליטה מרחוק - RDP שינוי Port של Remote Desktop ב-Registry שליטה מרחוק - TeamViewer, LogMeIn פקודות DOS על מחשב מרוחק - WinRM מבחן MCSE - שאלה על Remote Desktop מבחן MCSE - שאלה על Remote Assistance מבחן MCSE - הרשאות ב-SHARE סיכום ב-3 דקות - שיתוף תיקיות - Share סיכום ב-3 דקות - הרשאות NTFS

הסבר קצר על שיטת הלימוד אונליין

צילמנו בסרטונים את כל ההרצאות של הקורס, כי ללמוד בכיתה לא נוח וגם יקר.
קורס בכיתה עולה מעל מ-17 אלף ₪ ואצלנו בסרטונים רק 350 ש"ח בחודש.
אם משהו לא ברור בסרטון תמיד אפשר להתקשר למרצה ולדבר איתו ישירות בטלפון.
המרצה זמין גם בווטסאפ וגם בצ'אט באתר המכללה.


חשוב לציין שבסוף כל התלמידים, מכל המכללות, כולם ביחד ניגשים לאותה בחינה חיצונית של מיקרוסופט ומקבלים בדיוק אותה תעודה.
את מיקרוסופט לא מעניין איפה ואיך למדת וגם לא כמה שילמת על זה.
יש מבחן אחיד לכולם, המתבצע במרכז בחינות.
כל שבוע יש מבחן ומי שעובר אותו מקבל תעודת הסמכה בינלאומית של מיקרוסופט.
בדרך זו מתנהל כל עולם ההסמכות והתעודות הבינלאומיות גם של מיקרוסופט, גם של סיסקו, גם של לינוקס וגם בתחומי פיתוח ותכנות.

לסיכום: יש מרכז בחינות מורשה, שכולם מגיעים אליו מכל הארץ ועושים שם מבחן הסמכה בינלאומי ומי שעובר את המבחן מקבל תעודה מטעם מיקרוסופט.


מה לעשות אם לא מבינים משהו בסרט?

פשוט מאוד, מתקשרים למכללה ומדברים ישירות עם המרצה. אפשר גם להתכתב במייל או בווטסאפ או בצ'אט באתר.


האם יש לכם כיתות לימוד רגילות?

להשכיר כיתה + לשלם משכורת למרצה = 17 אלף ש"ח עלות הקורס לתלמיד.
אצלנו בסרטונים מקבלים אותו חומר לימוד
ואפילו קצת יותר, כי אין מגבלה של זמן כמו שיש בכיתה רגילה,
בנוסף מקבלים בדיוק אותה תעודה בינלאומית,
כי מבחן הוא מבחן חיצוני של מיקרוסופט
והכי חשוב שמקבלים את אותם המרצים, שמלמדים בכיתה רגילה,
רק שצילמנו אותם בסרטונים
והמחיר בסרטונים רק 350 ש"ח ולא 17 אלף כמו בכיתה רגילה.


קיימים במכללה שני מסלולי לימוד:
  1. מסלול לימוד חופשי, בלי תעודה, להעשרת ידע כללי.
    מסלול לימוד חופשי, מתאים בעיקר למי שעובד בתחום וכבר יש לו תעודות והוא לא רוצה עוד מבחנים ותעודות.

  2. מסלול עם תעודה - מתאים בעיקר לתלמידים חדשים המעוניינים בקורס מסודר,
    הכולל הגשת עבודות ופרוייקט גמר. מסלול זה מעניק בסיומו תעודת מקצוע בינלאומית.


בסיום הקורס ניתן לקבל שני סוגי תעודות:
1. תעודה של המכללה - מותנה בהגשת פרוייקט גמר בסוף הקורס

SQL TEHNAI MCITP CCNA

2. תעודת הסמכה בינלאומית של מיקרוסופט העולמית - מותנה במעבר מוצלח של מבחן הסמכה חיצוני של מיקרוסופט (מבחן זה מתבצע כל שבוע במרכז בחינות מורשה בתל-אביב)

MCT MCTip AD2008

מידע כללי:
1. חומר הלימוד מורכב ממאגר עצום ומסודר מאוד של סרטים מקצועיים, הניתנים לצפיה מהבית. מאגר זה כולל הרצאות מוקלטות בעברית בצורה מסודרת ע"י המרצים הטובים ביותר. רשימת הסרטים המלאה נמצאת בתפריט בצד ימין.
2. כל סטודנט במכללה מקבל שם וסיסמה לצורך גישה לשרת הקבצים שלנו.
השרת מכיל את כל התוכנות הדרושות ללימוד וכן חומר עזר
3. הקורסים מועברים בהתאם לסילבוסים של החברות המובילות: Microsoft, Cisco

NTFS Permissions

בס"ד


שלום כולם, שמי איתמר רוטמנש והיום נדון בהרשאות NTFS. ההרשאות הנ"ל הן מתוחכמות בהרבה מהרשאות שיתוף, כפי שתיווכחו לדעת – ולכן מומלץ לתרגל את הדברים פעמים רבות! במאמר נדון בסוגי ההרשאות השונות, בירושה של הרשאות, בשילוב של הרשאות NTFS עם הרשאות שיתוף ועוד...


סוגי ההרשאות:


ראשית חשוב להזכיר שהרשאות NTFS נועדו להגביל את הגישה לקבצים, לתיקיות ולמחיצות. זאת בניגוד להרשאות שיתוף, שמהווים לא יותר מאשר גישה אל תיקייה ששיתפנו. הרשאות NTFS העיקריות הן: Read, Write, Read & Execute, Modify, Full Control ו-Special Permissions. בואו נסביר מה אומרת כל הרשאה. Read כשמו כן הוא, קריאת המידע בקובץ או בתיקייה. הרשאת Read & Execute מאפשרת לא רק לקרוא את המידע אלא גם להפעיל קבצי הפעלה. למשל, אם יש למשתמש הרשאות Read & Execute על קובץ הפעלה (.exe, .com וכו'.) אז הוא יוכל להפעיל את התוכנית. הרשאת Write מאפשרת כתיבה של מידע או עדכון המידע הקיים, למשל – אם ניתן למשתמש הרשאות Write על תיקייה הוא יוכל להוסיף קבצים חדשים בתוכה. אם ניתן למשתמש הרשאות Write על קובץ, הוא יוכל לערוך את הקובץ. שימו לב שהרשאת Write לא מתירה מחיקה של קבצים או תיקיות! כדי שנוכל גם נזדקק להרשאה Modify, שמשעותה זהה להרשאת Write בתוספת יכולת המחיקה. שימו לב שהרשאת Modify מאפשרת למשתמש לעשות למעשה ככל העולה על רוחו – למעט דבר אחד שרק מי שמחזיק בהרשאת Full Control יכול לעשות. הרשאת Full Control מאפשרת למשתמש המחזיק בה לשנות את ההרשאות ב-Security Tab וכך למעשה לקבוע מי יוכל לעשות מה עם הקובץ/התיקייה. הרשאה גבוהה זו לרוב תינתן אך ורק למנהל רשת! אם כך, מהי הרשאת Special Permissions?


אם נלחץ בתוך ה-Security Tab על כפתור Advanced ונעמוד על ה-Permissions Tab ושם נלחץ על change Permissions ואחר כך על כפתור Edit נראה שמופיעות הרבה מאוד הרשאות. מהן ההרשאות ההן? התשובה היא מדהימה! כל הרשאה מההרשאות שדיברנו עליהן מקודם היא למעשה אוסף של הרשאות ובמקום בו אתם עומדים אתם רואים את הפרטים שמרכיבים את אותו אוסף הרשאות. מה יקרה אם נבחר באוסף הרשאות אחר? למשל, אם נוריד את ה-Read Permissions מאוסף ההרשאות Read? במקרה הזה אי אפשר לומר שההרשאה היא לגמרי Read כי לא בחרנו באוסף ההרשאות שמיוצג על ידי Read, מצד שני – בוודאי שלא נתנו את כל ההרשאות הנדרשות כדי שנקבל Write. במצב הזה ההרשאה תיוצג ב-Security Tab כ-Special Permissions. הרשאות Special Permissions מסומנות בצבע אפור ושינוי שלהן יהיה דרך ההרשאות הספציפיות שבתוך ה-Advanced.


הרשאה ממין אחר שבוודאי ראיתם ב-Security Tab היא עמוד הרשאות ה-Deny. הרשאות ה-Deny הן למעשה שלילת הרשאות. אם משתמש מקבל את ההרשאות הנ"ל אסור לו לבצע את פעולת ההרשאה. למשל, משתמש שמקבל Deny ל-Modify לא יוכל בשום פנים ואופן למחוק קובץ קיים. מה קורה אם משתמש חבר בקבוצה שיש לה הרשאות Modify לקובץ, אבל הוא חבר גם בקבוצה שיש לה Deny Modify לקובץ? החוק אומר ש-Deny לעולם ינצח Allow למעט בחריגה אחת שמיד נדבר עליה.


ירושה של הרשאות:


במחשב יש עשרות אלפים של קבצים ותיקיות. האם ניאלץ ללכת לכל קובץ ולכל תיקייה ולתת לה את ההרשאה הרצויה? בוודאי שזה לא ריאלי! ובכל זאת, אנו מעוניינים לשלוט בכל קובץ וקובץ! הפתרון הוא ירושה. נסביר קודם את הרעיון התיאורתי ולאחר מכן נראה איך מטפלים בירושות באופן פרקטי. ישנן שלוש רמות כידוע לתת הרשאות NTFS. רמת הקובץ, רמת התיקייה ורמת המחיצה. רמת הקובץ היא הקטנה ביותר, כי אין דבר כזה תת-קובץ. רמת המחיצה היא הגדולה ביותר, כי לא תימצא מחיצה בתוך מחיצה. ורמת התיקייה היא רמת ביניים, גם עושיים להיות בתוכה קבצים או תיקיות וגם היא מוכלת בתוך תיקיות אחרות או מחיצה. הרעיון של ירושה הוא להוריד הרשאות לפריטים שנמצאים בתוך המחיצה או התיקייה – או לחילופין, לקבל את ההרשאות שנמצאים מעל לקובץ או מעל לתיקייה. למשל, נוכל להחליט שכל ההרשאות מרמת מחיצה ירדו לפריטים שמתחתיה. נוכל גם לבקש לקבל בעבור קובץ מסויים את ההרשאות שברמה שמעליו. במקרה של תיקייה יהיו לנו שתי אופציות – נוכל גם להוריד את ההרשאות לרמות שמתחתיה וגם לבקש את ההרשאות מהרמות שמעליה. כיצד הדבר נעשה באופן פרקטי? כאשר נלחץ על הכפתור של Change Permissions (ראו למעלה במאמר איך להגיע אליו) נראה Checkboxes שמייצגים את הירושה. במידה ומדובר בקובץ תופיע רק האפשרות להחליף את ההרשאות הקיימות בהרשאות שברמה שמעל הקובץ. במידה ומדובר במחיצה תופיע רק האפשרות להוריד את ההרשאות לרמה שמתחת למחיצה. במידה ומדובר בתיקייה תופענה שתי האפשרויות. שימו לב שאם מסומנת כבר קבלת ירושה ואתם מחליטים להסיר אותה, קרי לנתק את הירושה, ניתנת לכם האפשרות למחוק את ההרשאות שקיבלתם בירושה, או לחילופין להשאיר אותם. מה הטעם בלהשאיר את ההרשאות? כאשר הרשאות שנמצאות על הפריט ניתנו בירושה הן מסומנות באפור ואינן ניתנות לשינוי כל עוד הירושה קיימת, ברגע בו מנתקים את הירושה ומחליטים להשאיר את ההרשאות – אזי הן נבצעות בשחור כמו כל הרשאה רגילה והן ניתנות לשינוי ידני.


מה יקרה אם אנחנו רוצים לעשות חריגה קטנה ולאפשר למשתמש כניסה רק לקובץ מסויים בתוף תיקייה שמכילה אלפי קבצים? מצד אחד אנחנו ניתן Deny ברמת המחיצה ונוריד את ה-Deny בירושה לכל תתי הקבצים, אבל מצד שני אנחנו כן רוצים לאפשר גישה למשתמש אל הקובץ האחד שבחרנו בתוך התיקייה. אם ניתן למשתמש Allow על הקובץ עצמו הרי כבר למדנו ש-Deny מנצח Allow.. ובכן, לא במקרה הזה!! כדי לאפשר מתן חריגות ספציפיות ל-Deny נקבע החוק הבא: Allow שניתן באופן ישיר על הקובץ/התיקייה ינצח Deny שניתן בירושה. זוהי הדרך היחידה בה Allow ינצח Deny!


שילוב של הרשאות NTFS עם הרשאות שיתוף:


ראשית כל, נביט במקרה עם הרשאות NTFS - מה יקרה אם משתמש חבר בקבוצה שיש לה הרשאות NTFS לקובץ מסויים של Read והוא חבר גם בקבוצה אחרת שרמת ההרשאות שלה לקובץ היא Modify? האם הוא יקבל את ההרשאה הנמוכה של Read או את ההרשאה הגבוהה של Modify? במקרה זה המשתמש יקבל את ההרשאה הגבוהה יותר של Modify! המערכת לעולם תיתן למשתמש את רמת ההרשאות הגבוהה ביותר האפשרית מבין הרשאות NTFS הקיימות בעבורו! תכונה זו נקראת "הרשאות מצטברות" (Cumulative Permissions). גם הרשאות שיתוף הן Cumulative. אבל!! בין הרשאות שיתוף להרשאות NTFS תינןת תמיד ההרשאה הנמוכה יותר (Restrictive). למשל, אם למשתמש יש הרשאת שיתוף של Full control לתיקייה והרשאת NTFS על התיקייה של Read הוא יקבל הרשאה של Read לתיקייה. חשוב לזכור רק פריט אחד, הרשאות שיתוף קובעות רק במידה ומישהו נכנס לתיקייה בדרך של שיתוף. אם המשתמש נכנס לתיקייה מהמחשב ישירות, או בשליטה מרחוק – להרשאות השיתוף אין משמעות בכלל!


אני רוצה לתת טיפ אחרון: שימו לב שבתוך ה—Advanced יש Tab של Effective Permissions. בתוך ה-Tab הזה ניתן לרשום משתמש או קבוצה ולבדוק מהי רמת הרשאות ה-NTFS שלו לאחר כל החישובים. במידע הנ"ל אין של שקלול של הרשאות שיתוף! מידע זה עוזר מאוד במידה ויש הרבה גורמים לחישוב של הרשאות NTFS ואנו רוצים לדעת מה יקרה עם המשתמש/הקבוצה בשורה התחתונה.


אני מקווה שהמידע כאן הועיל לכם ובהצלחה!