הרשאות NTFS על תיקיות וקבצים << קורס אונליין חינם

קורסים למנהלי רשת מסלול מנהלי רשת
עם התמחות בשרתי מיקרוסופט סייבר והאקינג - Hacking
מבדקי חדירה - סייבר התקפי תקשורת ואבטחת מידע
Cisco CCNA & FortiGate & Checkpoint התמחות בווירטואליזציה
VMware & Hyper-V מומחה לינוקס ו-DevOps מומחה ענן של אמזון - AWS מומחה ענן של מיקרוסופט - Azure מומחה ענן של גוגל - GCP שרתי מיקרוסופט לארגונים גדולים
Exchange - SCCM - SQL התמחות ב-Storage קורסים נוספים למנהלי רשת

קורסי תכנות מסלול Full Stack דוט-נט
יסודות התכנות מסלול Full Stack דוט-נט
צד לקוח - Frontend מסלול Full Stack דוט-נט
צד שרת - Backend מסלול Full Stack Node.JS מסלול Full Stack Java מסלול Full Stack Python מסלול Full Stack PHP מפתח אפליקציות - אנדרואיד - אייפון מפתח משחקי מחשב - Unity מפתח תוכנות לוונדוס - WinForms מסלול DBA
התמחות במסדי נתונים – SQL בדיקות תוכנה - QA - אוטומציה בדיקות תוכנה - QA - בדיקות ידניות בדיקות תוכנה - QA - קורסים נוספים המלצות תלמידים על PracticU

הרשמה באתר לצפיה בסרטים המלאים

00:00-01:08 הקדמה.
01:08-09:30 הרשאות NTFS מתקדמות, הורשת הרשאות וסוגי הפעולות שנוכל לנהל.
09:30-12:58 Effective Pemissions-מנגנון חישוב ההרשאות, והסבר על Owner
12:58-29:30 הסבר על מנגנון התיעוד-Auditing ו-Event Viewer-יומן הארועים.
29:30-32:28 כיצד משפיעה העברה/העתקה של קבצים על הרשאות הקובץ והסבר על פקודת Icacls
32:28-34:07 סיכום בניים.
34:07-40:28 EFS - הצפנת קבצים, בטחון מידע ושיוך משימות לאירועים ביומן הארועים.
40:28-52:00 שימוש ב-ERD לטובת עקיפת מערכות האבטחה, גישה לקבצים מוגנים ושינוי סיסמאות משתמשים דרך קובץ ה-SAM
52:00-55:40 EFS - הצפנת קבצים, הסבר מעמיק והדגמה.
55:40-55:57 היחס בין סיסמת המשתמש לקבצים מוצפנים וכיצד לבצע שינוי סיסמה בצורה בטוחה.
55:57-01:03:55 הסבר נוסף על ERD , סיכום בניים לנושאים שנלמדו ופקודות DOS לטובת הצפנה.
01:03:55-01:04:53 הסבר על תהליך האתחול/העלאה של המחשב.
01:04:53-01:05:55 הדגמה לנסיון פריצה לקובץ מוצפן.
01:05:55-01:16:09 BranchCache - הסבר, דרישות קדם ואופן עבודה.

הרשאות מתקדמות של NTFS

כשאנו רוצים לראות את ההרשאות שיש ל-usersgroup על תיקיה מסוימת, נעשה מקש ימני על התיקיה ?נסמן propertirs ?נסמן security .

נלחץ על advance ?נסמן chang permissions ?נסמן usergroup ? edit ואז אנו נראה את ההרשאות בפירוט יותר ובהרחבה שיש על אותם usergroup. ובאותו חלון ,אפשר להגדיר למעלה ולסמן על מה הרשאות אלו תופסות – apply to

ואנו יכולים לסמן או על תיקיות,או על קבצים,על תת-תיקיות.

Include inhertiale permissions from this objects perents

כלומר:אותה תת-תיקיה (תיקית ה-"ילד") שיושבת בתוך התיקיה הראשית(תיקיית-"אם") תקבל בהורשה את כל ההרשאות מהתיקיית אם שמעליה.

Replace all child object permissions with inheritable permissions from this object

כלומר:תוריש בתיקיה זו את ההרשאות שלה כרגע לכל התת-תיקיות שנמצאות מתחתיה ("הילדים " שלה),זאת אומרת לאפס ל "ילדיפ: שלה את ההרשאות ולהוריש להם את ההרשאות של תיקיית-האם.

Effective permissions

הכוונה היא: שאם user מסוים קיבל הרשאה read על תיקיה מסוימית למשל,אבל מצד שני הוא שייך לקבוצת administrators שיש להם full control על אותה תיקייה ,אז פה נכנס effective permissions שאומר:בסופו של דבר מה ההרשאות המצטברות הנכונות שיש לאותו user על אותה תיקייה.

Owner

הבעלים של הקובץ,היינו המשתמש שיצר את הקובץ ואותו owner ,רשאי לחלק הרשאות על הקובץתיקיה למשתמשים אחרים. ל administrators יש את האפשרות לשים משתמש אחר כבעלים של הקובץ כלומר:לגנוב בעלות .

במקרה והרשימה של ההרשאות על תיקיהקובץ ריקה ואין מי שיוכל להיכנס בכלל להגדיר הרשאות חדשות על התיקיה ,אז ה owner יוכל לגשת אליה(כמו במקרה חירום).

Auditing

מבצע תיעוד של גישה על הקובץתיקיה .

לדוגמא:מתעד ביומן האירועים של המחשב ,מי נכנס לקובץ מסוים,מי ביצע שינויים ועוד.

מקש ימני על תיקיהקובץ?נסמן properties ?נסמן advance ?ונסמן auditing ונסמן את 2 האפשרויות :)

אפשרות ראשונה:לתעד את כל תיקיות ה"אם" ואת כל תיקיות "הילדים"שלהם.

אפשרות שניה:אם אחת מתת-התיקיות ("הילדים"),שינה משהו בהגדרות(הרשאות)שלה,אז תאפס אותם,ושיקבלו את ההרשאות מתיקית ה "אם" שלהם.

דוגמא:לוחצים add (מסמנים על מי אני רוצה תיעוד משתמשקבוצה) ?באפשרות apply onto אנו נסמן על מה יבוצע התיעוד(תיקיה,תת-תיקיה,קבצים).

ונסמן באיזה פעולות שמשתמש או קבוצה עשו ,אני רוצה תיעוד:

לדוגמא:נסמן delete ונסמן write ונסמן על שתיהם faild

כלומר:אני אקבל תיעוד מי ניסה לגשת למה ואם הוא ניסה לבצע פעולת מחיקה ,או כתיבה ואפילו שהוא ניסה ולא הצליח ,אני אקבל על זה תיעוד.

או שלמשל אני יכול להגדיר במידה ויש לי קובץ סודי כלשהו ולסמן list folder/read data ולסמן על זה faild ואז אני יכול לראות ,מי ניסה לגשת אל הקובץ הסודי ולמחוק אותו למרות שלא הצליח ,אבל זה שהוא ניסה זה כבר מעורר חשד וזה היתרון במערכת תיעוד.

יש עוד אופציה לסמן שהיאapply this auditing entries to objects and/or containers with in the container only

כלומר:שים את ההוראה הזו שנתתי על כל מי שנמצא בתיקיה זו ובתיקיות הילדים של אותה תיקית האם.

יש לציין שבכדי שכל מערעת התיעוד הזו תעבוד אנו צריכים להפעיל את המנוע הזה דרך group policy

נסמן computer configuration ?נסמן windows settings ?נסמן security settings ?נסמן local policy ?נסמן audit policy ונלחץ על audit object access ונסמן successful ונסמן failed .

ואז נוכל לראות תיעוד על NTFS(מערכת קבצים) ביומן האירועים .

מה קורה כשמעבירים קבצים(או מעתיקים)

אז באמת כשאנחנו עושים copy או cut לקבצים מה קורה איתם מבחינת ההרשאות ,אז בואו נעשה סדר:

כשאנו מבצעים copy הקבצים מקבלים בהורשה את ההרשאות מתיקית האם שלהם ,כי זה נקרא: ליצור.,

כשאנו מבצעים move (cut )מכונן c לכונן d הקבצים גם מקבלים הרשאות בהורשה.

כשאנו מבצעים cut באותו כונן c הקבצים אינם מקבלים בהורשה ונישארים עם ההרשאות הישנות שלהם.

פקודה שאנו יכולים לבצע משורת הפקודה cmd לנתינת הרשאות על תיקיה היא icacls

Auditing- לסיכום היא:

מערכת תיעוד מובנית ב NTFS

חייבים להפעיל אותה דרך group policy

על כל תיקיה,שרוצים לתעד צריך לתת הוראות מפורשות:

איזו פעולה לתעד-קריאה כתיבהמחיקה או את כולן.

איזה משתמש,או איזה קבוצה נמצאת במעקב.

EFS

אנו צריכים להבין שגם עם מערכת אבטחה של NTFS עדיין יש לנו פירצה אבטחתית .

למשל מגיע איזה האקר ומכניס דיסק למכונה למשל erd disk שזה דיסק תיקון ושיחזור שניתן בחינם והוא עושה restart ועושה boot מ cd ומעלה את מערכת ההפעלה מה cdrom כשלמעשה אותו האקר עכשיו הוא "אדמיניסטרטור כל יכול" במערכת ההפעלה המינימליסטית שעל הcd (כך עקפנו את מערכת ההפעלה המותקנת במחשב כגון הרשאות גישה של NTFS ).

ואז אפשר יהיה לגשת לקבצים ולגנוב תוכן מתוכם.

השיטה היחידה שאפשר להגן על המחשב הוא:

להצפין את הדיסק הקשיח שלנו,שגם אם הוא ייגנב אי אפשר יהיה לפתוח אותו בשום אופן.

אחת השיטות היא הצפנת דיסק באמצעות EFS שזוהי מערכת הצפנת קבצים מובנית בתוך NTFS .

איך עושים:מסמנים קובץ מסוים ?מקש ימני propertirs ?נסמן advanced ?ונסמן encrypt contents to secure data ?ונלחץ ok

ואז נראה שהקובץ מוצפן(מסומן בצבעירוק)ואז גם להצפנה זאת יש מפתחות ומומלץ לעשות להם backup כדי לגבות את המפתחות שפותחים את ההצפנה למיקרה שהם ילכו לאיבוד.

אם נסמן properties על הקובץ המוצפן ?נסמן advanced ?נסמן details אנו נוכל לראות מי המשתמש או הקבוצה שרשאי לפתוח את הקובץ המוצפן(שיש לו את המפתח הסודי).

ואז אם נכניס משתמש או קבוצה אחרים וניתן להם read על הקובץ ,הם יוכלו לפתוח את הקובץ אבל הם לא יצליחו להבין מה רשום שם,כי הקובץ הוא מוצפן ואין להם את המפתח הסודי שיכול לפתוח את ההצפנה.

חשוב לציין שאם משתמש מסוים יש לו קבצים מוצפנים והוא שינה את הסיסמה שלו בכוח

(איפוס בכוח - נסמן disk management ?נסמן local users and groups ?נסמן משתמש ומקש ימני set password )אזי אותו משתמש יאבד את המפתחות הסודיים שלו ולא יוכל לפתוח את הקבצים המוצפנים.

אך אם אותו משתמש יאפס סיסמה באופן מסודר(אופן מסודר-נלחץ cntrl+alt+delete ונסמן change passwprd )אזי אותו משתמש לא יאבד את המפתחות הסודיים שלו ויוכל לפתוח את הקבצים המוצפנים.

סיכום EFS

מצפין קבצים בדיסק(צבע ירוק).

מונע את האפשרות של גניבת מידע,גם במיקרה של boot מתוך cd .

למקרה חירום ניתן ליצור recovery agent .

פקודה להצפנה-cipher

תוכנת efs קיימת רק בגרסאות ultimate,professional,enterprise .

טכנולוגית bitlocker מצפינה את כל הכונן,אל אין לו יכולת הצפנה אישית לפי משתמש מסוים.

Branchcache

זוהי טכנולוגיה חדשה ב windows 7 שעובדת רק עם שרת 2008r2 ורק בגירסת ultimate,enterprise .

Branchcache שומר העתק מקומי של מידע מהשיתוף ,או מאתר אינטרנט ומאפשר לתחנות עבודה אחרות לקבל את המידע ממנו במקום לגשת לשרת המרוחק.(שם נוסף לטכנולוגיה זו proxy ).

שמירת העתקים בשרת בסניף המרוחק מחייב שרת 2008r2 ונקרא hosted cache mode

שמירת העתקים בתוך windows 7 נקרא Distributed cache mode

Branchcach נהיה פעיל אם עיכוב בין תחנה לשרת עולה על 80 מילישניות.

מחייב פורט 80 פתוח בתחנות העבודה ,או בשרת המחזיק cache .

יש service מובנה בווינדוס 7 בשם branchcache .

אין ממשק גראפי להגדרות,רק דרך NETSH או group policy .

פקודת NETSH BRANCHCACHE SHOW STATUS תראה לנו מה מצב ה branchcache במערכת שלנו.

דרך group policy

נסמן computer configuration ?נסמן administrative templates ?נסמן network ?נסמן branchcache ?נסמן turn on branch cache ?נסמן enabled ונפעיל את האופציה הזו בתחנת עבודה set branchcache distributed mode מה שאומר:שתחנת העבודה היא השרת שמחזיק ב branchcache .

אם יש לנו שרת מרכזי שמחזיק את כל המידע אנו נסמן set branchcache hosted cache mode ?נסמן enabled ?ונותנים כתובת של השרת המרכזי שמחזיק ב branchcache .

אנו יכולים להגדיר גם כמה עיכוב צריך להיות כדי ש branchcache יופעל configure branchcache for network file ?נסמן enabled .

ואפ שר גם להגדיר כמה אחוז מהדיסק הקשיח מידע של branchcache יתפוס set percentage of disk space used for client computer cache ?ונסמן enabed .

סיכום זה נעשה על ידי רמי טראב

תעודות	שעות	מחיר	שם מוסד
MCSE / MCITP + VCP (VMWare) + CCSA (Checkpoint)	400	19,500	מכללת היי-טק (הרצליה)
MCSE / MCITP - Enterprise Administrator	400	12,900	מכללת ספיר (נתיבות)
MCSE / MCITP Enterprise	408	18,500	ג'ון ברייס - John Bryce
MCSE / MCITP + Exchange + Checkpoint + Linux	358	12,850	מכללת רמת-גן
MCSE / MCITP Enterprise	450	15,000	IITC (רמת-גן)
MCSE / MCITP + CCNA	440	16,500	מכללת נס - NESS
MCSE / MCITP	280	16,800	נשיא טכנולוגיות
MCITP / MCSE	360	15,700	ONE college
MCSE / MCITP + CCNA + CCSA + LINUX	416	22,620	קבוצת מל"מ
MCSE / MCITP + ISSI + CCNA + CCSA	260	14,500	SEE SECURITY
MCSE / MCITP Enterprise + CCNA + Exchange + Hyper-V	790	19,900	מכללת סלע

סקר שוק על משכורות של מנהלי רשת – חברת אתוסיה

סקר שוק על משכורות של מנהלי רשת - חברת דיאלוג

סקר שוק נכון לתאריך – 01/09/2011

הסבר קצר על שיטת הלימוד אונליין

צילמנו בסרטונים את כל ההרצאות של הקורס, כי ללמוד בכיתה לא נוח וגם יקר.
קורס בכיתה עולה מעל מ-17 אלף ₪ ואצלנו בסרטונים רק 350 ש"ח לחודש.
אם משהו לא ברור בסרטון תמיד אפשר להתקשר למרצה ולדבר איתו ישירות בטלפון.
המרצה זמין גם בווטסאפ וגם בצ'אט באתר המכללה.

חשוב לציין שבסוף כל התלמידים, מכל המכללות, כולם ביחד ניגשים לאותה בחינה חיצונית של סיסקו / מיקרוסופט / לינוקס ומקבלים בדיוק אותה תעודה.
את החברות הגדולות האלו בכלל לא מעניין איפה ואיך למדת וכמה שילמת על הלימודים.
יש מבחן אחיד לכולם, המתבצע במרכז בחינות מורשה של חברת Pearson VUE. הם עושים את הבחינות בפועל עבור החברות הגדולות בשוק.
כל שבוע יש מבחן ומי שעובר אותו מקבל תעודת הסמכה בינלאומית.

לסיכום: יש מרכז בחינות מורשה בתל-אביב, שכולם מגיעים אליו מכל הארץ ועושים שם מבחני הסמכה הבינלאומיים ומי שעובר את המבחן מקבל את התעודה ולא חשוב להם איפה ואיך למדת.

מה לעשות אם לא מבינים משהו בסרט?

פשוט מאוד, מתקשרים למכללה ומדברים ישירות עם המרצה. אפשר גם להתכתב עם המרצה במייל או בווטסאפ או בצ'אט באתר.

האם יש לכם כיתות לימוד רגילות?

להשכיר כיתה + לשלם משכורת למרצה = 17 אלף ש"ח עלות הקורס לתלמיד.
אצלנו בסרטונים מקבלים אותו חומר לימוד
ואפילו יותר, כי אין מגבלה של זמן למרצה (כמו שיש בכיתה),
בנוסף מקבלים בדיוק אותה תעודה בינלאומית,
כי מבחן הוא מבחן אחיד לכולם המתבצע במרכז בחינות מורשה
והכי חשוב שמקבלים את אותם המרצים, שמלמדים בכיתה רגילה,
רק שצילמנו אותם בסרטונים
והמחיר בסרטונים רק 350 ש"ח ולא 17 אלף כמו בכיתה רגילה.

קיימים במכללה שני מסלולי לימוד:

מסלול לימוד חופשי, בלי תעודה, להעשרת ידע כללי.
מסלול לימוד חופשי, מתאים בעיקר למי שעובד בתחום וכבר יש לו תעודות והוא לא רוצה עוד מבחנים ותעודות.
מסלול עם תעודה - מתאים בעיקר לתלמידים חדשים המעוניינים בקורס מסודר,
הכולל הגשת עבודות ופרוייקט גמר. מסלול זה מעניק בסיומו תעודת מקצוע בינלאומית.
למעשה ההבדל היחיד בין שני המסלולים זה פרויקט גמר בסוף.
אם מגישים את פרויקט גמר - מקבלים תעודה.
בדיקת פרויקט גמר והנפקת תעודה כרוכים בתשלום נוסף, כפי שכתוב בדף ההרשמה.

בסיום קורס ניתן לקבל תעודות הבאות:
1. תעודה של המכללה - מותנה בהגשת פרוייקט גמר בסוף הקורס
2. תעודת הסמכה בינלאומית של מיקרוסופט העולמית - מותנה במעבר מוצלח של מבחן הסמכה חיצוני של מיקרוסופט (מבחן זה מתבצע כל שבוע במרכז בחינות מורשה בתל-אביב)

מידע כללי:
1. חומר הלימוד מורכב ממאגר עצום ומסודר מאוד של סרטים מקצועיים, הניתנים לצפיה מהבית. מאגר זה כולל הרצאות מוקלטות בעברית בצורה מסודרת ע"י המרצים הטובים ביותר. רשימת הסרטים המלאה נמצאת בתפריט בצד ימין.
2. כל סטודנט במכללה מקבל שם וסיסמה לצורך גישה לשרת הקבצים שלנו.
השרת מכיל את כל התוכנות הדרושות ללימוד וכן חומר עזר
3. הקורסים מועברים בהתאם לסילבוסים של החברות המובילות: Microsoft, Cisco

מחירון והרשמה לאתר

NTFS Permissions

בס"ד

שלום כולם, שמי איתמר רוטמנש והיום נדון בהרשאות NTFS. ההרשאות הנ"ל הן מתוחכמות בהרבה מהרשאות שיתוף, כפי שתיווכחו לדעת – ולכן מומלץ לתרגל את הדברים פעמים רבות! במאמר נדון בסוגי ההרשאות השונות, בירושה של הרשאות, בשילוב של הרשאות NTFS עם הרשאות שיתוף ועוד...

סוגי ההרשאות:

ראשית חשוב להזכיר שהרשאות NTFS נועדו להגביל את הגישה לקבצים, לתיקיות ולמחיצות. זאת בניגוד להרשאות שיתוף, שמהווים לא יותר מאשר גישה אל תיקייה ששיתפנו. הרשאות NTFS העיקריות הן: Read, Write, Read & Execute, Modify, Full Control ו-Special Permissions. בואו נסביר מה אומרת כל הרשאה. Read כשמו כן הוא, קריאת המידע בקובץ או בתיקייה. הרשאת Read & Execute מאפשרת לא רק לקרוא את המידע אלא גם להפעיל קבצי הפעלה. למשל, אם יש למשתמש הרשאות Read & Execute על קובץ הפעלה (.exe, .com וכו'.) אז הוא יוכל להפעיל את התוכנית. הרשאת Write מאפשרת כתיבה של מידע או עדכון המידע הקיים, למשל – אם ניתן למשתמש הרשאות Write על תיקייה הוא יוכל להוסיף קבצים חדשים בתוכה. אם ניתן למשתמש הרשאות Write על קובץ, הוא יוכל לערוך את הקובץ. שימו לב שהרשאת Write לא מתירה מחיקה של קבצים או תיקיות! כדי שנוכל גם נזדקק להרשאה Modify, שמשעותה זהה להרשאת Write בתוספת יכולת המחיקה. שימו לב שהרשאת Modify מאפשרת למשתמש לעשות למעשה ככל העולה על רוחו – למעט דבר אחד שרק מי שמחזיק בהרשאת Full Control יכול לעשות. הרשאת Full Control מאפשרת למשתמש המחזיק בה לשנות את ההרשאות ב-Security Tab וכך למעשה לקבוע מי יוכל לעשות מה עם הקובץ/התיקייה. הרשאה גבוהה זו לרוב תינתן אך ורק למנהל רשת! אם כך, מהי הרשאת Special Permissions?

אם נלחץ בתוך ה-Security Tab על כפתור Advanced ונעמוד על ה-Permissions Tab ושם נלחץ על change Permissions ואחר כך על כפתור Edit נראה שמופיעות הרבה מאוד הרשאות. מהן ההרשאות ההן? התשובה היא מדהימה! כל הרשאה מההרשאות שדיברנו עליהן מקודם היא למעשה אוסף של הרשאות ובמקום בו אתם עומדים אתם רואים את הפרטים שמרכיבים את אותו אוסף הרשאות. מה יקרה אם נבחר באוסף הרשאות אחר? למשל, אם נוריד את ה-Read Permissions מאוסף ההרשאות Read? במקרה הזה אי אפשר לומר שההרשאה היא לגמרי Read כי לא בחרנו באוסף ההרשאות שמיוצג על ידי Read, מצד שני – בוודאי שלא נתנו את כל ההרשאות הנדרשות כדי שנקבל Write. במצב הזה ההרשאה תיוצג ב-Security Tab כ-Special Permissions. הרשאות Special Permissions מסומנות בצבע אפור ושינוי שלהן יהיה דרך ההרשאות הספציפיות שבתוך ה-Advanced.

הרשאה ממין אחר שבוודאי ראיתם ב-Security Tab היא עמוד הרשאות ה-Deny. הרשאות ה-Deny הן למעשה שלילת הרשאות. אם משתמש מקבל את ההרשאות הנ"ל אסור לו לבצע את פעולת ההרשאה. למשל, משתמש שמקבל Deny ל-Modify לא יוכל בשום פנים ואופן למחוק קובץ קיים. מה קורה אם משתמש חבר בקבוצה שיש לה הרשאות Modify לקובץ, אבל הוא חבר גם בקבוצה שיש לה Deny Modify לקובץ? החוק אומר ש-Deny לעולם ינצח Allow למעט בחריגה אחת שמיד נדבר עליה.

ירושה של הרשאות:

במחשב יש עשרות אלפים של קבצים ותיקיות. האם ניאלץ ללכת לכל קובץ ולכל תיקייה ולתת לה את ההרשאה הרצויה? בוודאי שזה לא ריאלי! ובכל זאת, אנו מעוניינים לשלוט בכל קובץ וקובץ! הפתרון הוא ירושה. נסביר קודם את הרעיון התיאורתי ולאחר מכן נראה איך מטפלים בירושות באופן פרקטי. ישנן שלוש רמות כידוע לתת הרשאות NTFS. רמת הקובץ, רמת התיקייה ורמת המחיצה. רמת הקובץ היא הקטנה ביותר, כי אין דבר כזה תת-קובץ. רמת המחיצה היא הגדולה ביותר, כי לא תימצא מחיצה בתוך מחיצה. ורמת התיקייה היא רמת ביניים, גם עושיים להיות בתוכה קבצים או תיקיות וגם היא מוכלת בתוך תיקיות אחרות או מחיצה. הרעיון של ירושה הוא להוריד הרשאות לפריטים שנמצאים בתוך המחיצה או התיקייה – או לחילופין, לקבל את ההרשאות שנמצאים מעל לקובץ או מעל לתיקייה. למשל, נוכל להחליט שכל ההרשאות מרמת מחיצה ירדו לפריטים שמתחתיה. נוכל גם לבקש לקבל בעבור קובץ מסויים את ההרשאות שברמה שמעליו. במקרה של תיקייה יהיו לנו שתי אופציות – נוכל גם להוריד את ההרשאות לרמות שמתחתיה וגם לבקש את ההרשאות מהרמות שמעליה. כיצד הדבר נעשה באופן פרקטי? כאשר נלחץ על הכפתור של Change Permissions (ראו למעלה במאמר איך להגיע אליו) נראה Checkboxes שמייצגים את הירושה. במידה ומדובר בקובץ תופיע רק האפשרות להחליף את ההרשאות הקיימות בהרשאות שברמה שמעל הקובץ. במידה ומדובר במחיצה תופיע רק האפשרות להוריד את ההרשאות לרמה שמתחת למחיצה. במידה ומדובר בתיקייה תופענה שתי האפשרויות. שימו לב שאם מסומנת כבר קבלת ירושה ואתם מחליטים להסיר אותה, קרי לנתק את הירושה, ניתנת לכם האפשרות למחוק את ההרשאות שקיבלתם בירושה, או לחילופין להשאיר אותם. מה הטעם בלהשאיר את ההרשאות? כאשר הרשאות שנמצאות על הפריט ניתנו בירושה הן מסומנות באפור ואינן ניתנות לשינוי כל עוד הירושה קיימת, ברגע בו מנתקים את הירושה ומחליטים להשאיר את ההרשאות – אזי הן נבצעות בשחור כמו כל הרשאה רגילה והן ניתנות לשינוי ידני.

מה יקרה אם אנחנו רוצים לעשות חריגה קטנה ולאפשר למשתמש כניסה רק לקובץ מסויים בתוף תיקייה שמכילה אלפי קבצים? מצד אחד אנחנו ניתן Deny ברמת המחיצה ונוריד את ה-Deny בירושה לכל תתי הקבצים, אבל מצד שני אנחנו כן רוצים לאפשר גישה למשתמש אל הקובץ האחד שבחרנו בתוך התיקייה. אם ניתן למשתמש Allow על הקובץ עצמו הרי כבר למדנו ש-Deny מנצח Allow.. ובכן, לא במקרה הזה!! כדי לאפשר מתן חריגות ספציפיות ל-Deny נקבע החוק הבא: Allow שניתן באופן ישיר על הקובץ/התיקייה ינצח Deny שניתן בירושה. זוהי הדרך היחידה בה Allow ינצח Deny!

שילוב של הרשאות NTFS עם הרשאות שיתוף:

ראשית כל, נביט במקרה עם הרשאות NTFS - מה יקרה אם משתמש חבר בקבוצה שיש לה הרשאות NTFS לקובץ מסויים של Read והוא חבר גם בקבוצה אחרת שרמת ההרשאות שלה לקובץ היא Modify? האם הוא יקבל את ההרשאה הנמוכה של Read או את ההרשאה הגבוהה של Modify? במקרה זה המשתמש יקבל את ההרשאה הגבוהה יותר של Modify! המערכת לעולם תיתן למשתמש את רמת ההרשאות הגבוהה ביותר האפשרית מבין הרשאות NTFS הקיימות בעבורו! תכונה זו נקראת "הרשאות מצטברות" (Cumulative Permissions). גם הרשאות שיתוף הן Cumulative. אבל!! בין הרשאות שיתוף להרשאות NTFS תינןת תמיד ההרשאה הנמוכה יותר (Restrictive). למשל, אם למשתמש יש הרשאת שיתוף של Full control לתיקייה והרשאת NTFS על התיקייה של Read הוא יקבל הרשאה של Read לתיקייה. חשוב לזכור רק פריט אחד, הרשאות שיתוף קובעות רק במידה ומישהו נכנס לתיקייה בדרך של שיתוף. אם המשתמש נכנס לתיקייה מהמחשב ישירות, או בשליטה מרחוק – להרשאות השיתוף אין משמעות בכלל!

אני רוצה לתת טיפ אחרון: שימו לב שבתוך ה—Advanced יש Tab של Effective Permissions. בתוך ה-Tab הזה ניתן לרשום משתמש או קבוצה ולבדוק מהי רמת הרשאות ה-NTFS שלו לאחר כל החישובים. במידע הנ"ל אין של שקלול של הרשאות שיתוף! מידע זה עוזר מאוד במידה ויש הרבה גורמים לחישוב של הרשאות NTFS ואנו רוצים לדעת מה יקרה עם המשתמש/הקבוצה בשורה התחתונה.

אני מקווה שהמידע כאן הועיל לכם ובהצלחה!