Institute of Computer Science
  1. Courses
  2. 2018/19 spring
  3. Operating Systems (MTAT.08.006)
ET
Log in

Operating Systems 2018/19 spring

  • Esileht
  • Päevaõpe - esmaspäeviti
  • Sessiooniõpe - reede/laupäev
  • Lingid
  • Wiki vormistusest

NTFS failisüstemi õigused

NTFS failisüsteemis saab anda kasutajate ja kasutajagruppide kataloogidele ja failidele erinevaid ligipääsuõiguseid. Failidele ja kaustadele ligipääsuõiguste seadmine on esimeseks sammuks süsteemi turvalisemaks seadmisel.
Vaikimisi saab loodud kaust või fail õigused vanemkausta (parent folder) järgi. Kui luua kaust otse C: kettale, siis saab õigused C:\ kettalt.

Järgnevalt mõned olulised punktid NTFS failisüsteemi kohta:

  1. Õigused on kumulatiivsed. Kaustale, milles on määratud erinevad ligipääsuõigused mitmele kasutajagrupile, saab kasutaja, kes kuulub mitmesse antud kaustaga seotud gruppi, ligi suurimate lubatud õigustega. Olgu näiteks kaust KALA Selles kaustas olevaid faile tohivad lugeda kasutajagrupi JAHIMEES liikmed.
    Samas tohivad kasutajagruppi KALUR kuuluvad isikud ka sinna kausta uusi faile luua ja olemasolevaid üle kirjutada. Kasutaja Peeter, kes kuulub gruppidesse KALUR ja JAHIMEES, saab antud kausta samuti uusi faile luua, sest need õigused saab ta kasutajagruppi KALUR kuuludes.
  2. Keelamine (Deny) on tugevam lubavatest õigustest. Kausta, milles on seatud mingile grupile õiguste keeld, ei saa kasutaja keelatud õigusi kasutada isegi siis, kui teises grupis on tal need õigused
  3. Tegevus on keelatud ≠ kasutajal ei ole lubatud. Failidele ja kaustadele õiguste seadmisel tuleks eelistada lubavaid õiguseid (kui mingi tegevus ei ole lubatud, siis seda teha ka ei saa). Vaikimisi saab kasutaja teha ainult neid tegevusi, mis on talle ligipääsuõigustega lubatud.
  4. Failiõigused erinevad kaustaõigustest. Kui failile seatud õigused mõjutavad ainult antud faili, siis kaustade õiguste seadmise puhul on võimalik õigused ka alamkataloogidele pärandada.
  5. Faili- ja kaustaõiguste pärimine. Õiguste pärimise lubamisel saab alamkaust õigused ülemkausta järgi.
  6. Õigused võivad muutuda andmete kopeerimisel/teisaldamisel. Kopeerimisel saab fail/kaust õigused sihtpunktis asuva ülemkausta järgi (õiguste pärimine). Faili/kausta teisaldamisel jäävad õigused endiseks. Faili/kausta teisaldamisel teisele partitsioonile antakse õigused sihtpunktis asuva ülemkausta järgi.
Näiteks: faili kopeerimine mälupulgale (mälupulgal on teine failisüsteem: FAT32 ja kasutajaõiguseid ei tunnistata).

Kataloogi/faili õiguste muutmiseks tuleks vaadata vastava faili või kataloogi atribuute ning seal muuta paneelil Turve (Security) õiguseid. Kataloogide korral on tarvis muuta kindlasti eriõiguseid ehk nupp Täpsemalt.

CREATOR OWNER – faili või kausta looja ja omanik.
Authenticated Users - kasutajad, kes ei ole Users grupis kuid on kirjeldatud süsteemis (nt admin kasutaja jms).
Faili ja kaustaõiguste seadmisel tuleb jälgida ka seda, millistele objektidele (failidele ja kaustadele) need kehtivad.

NTFS failisüstemi õiguste seadistamine Windows 10 operatsioonisüsteemis.

Kaust -> Properties. Security

Lihtsustatud ligipääsuõiguses siin muutmiseks klõpsata Edit. Praktilistes olukordades soovitan siiski muuta Advanced nupu kaudu kaustaõiguseid (saan lubada/keelata pärimist jne).

Security -> Advanced

Detailsed kaustaõigused. Siin on kolm paneeli, õiguste seadistamiseks, auditi tegemiseks ja viimane paneel: Effective Access laseb valida mõne kasutaja, kellele kehtivaid õiguseid soovitakse näha.

Security -> Advanced -> Disable inheritance

Kui ma keelan pärilusseaded, siis ülalttulnud õigusseaded enam ei kehti - saan keelata nt kasutajagrupil Users kaustale ligipääsu.

Tavaliselt tasub valida pildil märgitud valik õigustega edasimineku osas. See tähendab, et olemasolevate õiguste baasil saan muuta/eemaldada/lisada õiguseid. (Kergem on kirjeid kustutada, kui neid juurde kirjutada).

Õiguste juures tasub jätta alles Administrators ja System kirje - muidu võib juhtuda, et nt kausta ei saa kustutada/parandada õiguseid isegi opratsioonisüsteemi administraator.

Security -> Advanced -> Add

Uue ligipääsukirje loomine. Esmalt tuleb valida objekt (kasutaja), kellele kaustaõiguseid määrama hakatakse, pärast seda muutuvad pildilolevad hallid alad muudetavaks.

Security -> Advanced -> Add -> Peeter -> Show Advanced permissions

Kasutajale õiguste seadmine kaustal.

Type: lubavad või keelavad õigused (vaikimisi - kui ei ole lubatud, siis ligipääsu tegelikult ei ole, seega tasub ainult lubavate õigustega mängida).

Applies to: kehtivusala (failid, kaustad, parasjagu avatud kaust jne).

Advanced permissions: õigused. Saab üksikasjalikult määrata, missugused õigused kehtivad.

NB! Kui tahta erinevaid õiguseid parasjagu aktiivse kausta ja nt kasutaja loodud alamkaustade jaoks, siis tuleb kasutada sama nimega Add kaks korda.

Security -> Effective Access

Ma ei pea kasutajana, kellele olen ligipääsupiiranguid pannud, sisse logima, et neid testida.

cmd.ee (run as administrator) -> icacls C:\kala

Failiõiguste lisamiseks/eemaldamiseks on võimalik ka kasutada käsureakäske. Windows ise soovitab kasutada icacls käsku. Tulemus näeb välja selline. icacls juhend techneti leheküljel

  • Institute of Computer Science
  • Faculty of Science and Technology
  • University of Tartu
In case of technical problems or questions write to:

Contact the course organizers with the organizational and course content questions.
The proprietary copyrights of educational materials belong to the University of Tartu. The use of educational materials is permitted for the purposes and under the conditions provided for in the copyright law for the free use of a work. When using educational materials, the user is obligated to give credit to the author of the educational materials.
The use of educational materials for other purposes is allowed only with the prior written consent of the University of Tartu.
Terms of use for the Courses environment