Windows надає два набори дозволів для обмеження доступу до файлів і папок: Дозволи NTFS і дозволи на спільний доступ.
- Дозволи NTFS застосовуються до кожного файлу та папки, що зберігаються на томі, відформатованому у файловій системі NTFS. За замовчуванням дозволи успадковуються від кореневої папки до файлів і вкладених папок, розташованих під нею, хоча це успадкування можна вимкнути. Дозволи NTFS набувають чинності незалежно від того, чи здійснюється доступ до файлу або папки локально чи віддалено. Дозволи NTFS, на базовому рівні, пропонують рівні доступу, такі як читання, читання та виконання, запис, зміна, вміст папки списку та повний контроль, як показано нижче:
Існує також розширений набір дозволів NTFS, який розділяє базові рівні доступу на більш детальні налаштування. Ці розширені дозволи різняться залежно від типу об'єкта, до якого вони застосовуються. Розширені дозволи на папку показані нижче:
- Дозволи на спільний доступ застосовуються лише до спільних папок. Вони набувають чинності, коли доступ до спільної папки здійснюється через мережу з віддаленої системи. Дозволи на спільний доступ до певної спільної папки застосовуються до цієї папки та її вмісту. Дозволи на спільний доступ менш деталізовані, ніж дозволи NTFS, пропонуючи рівні доступу до читання, зміни та повного контролю:
Найважливіше, що слід пам'ятати про дозволи NTFS і дозволи на спільний доступ, це спосіб, у який вони поєднуються для регулювання доступу.
Правила визначення рівня доступу користувача до того чи іншого файлу такі:
- Якщо доступ до файлу здійснюється локально, використовуються лише права доступу NTFS.
- Якщо доступ до файлу здійснюється за допомогою спільного ресурсу, використовуються як NTFS, так і дозволи на спільний доступ, а також застосовуються найбільш обмежувальні дозволи. Наприклад, якщо дозволи на спільний доступ до спільної теки надають користувачеві доступ на читання, а дозволи NTFS — користувачеві Змінити доступ, ефективним рівнем дозволів користувача є Читання під час віддаленого доступу до спільного ресурсу та Змінення під час локального доступу до папки.
- Індивідуальні дозволи користувача додатково поєднуються з дозволами груп, учасником яких є користувач. Якщо користувач має доступ на читання файлу, але він є членом групи, яка має доступ до того самого файлу, ефективним рівнем дозволу для користувача є Змінити.
- Дозволи, призначені безпосередньо певному файлу або папці (явні дозволи), мають пріоритет над дозволами, успадкованими від батьківської папки (успадковані дозволи).
- Явні дозволи «Заборонити» мають пріоритет над явними дозволами «Дозволити», але через попереднє правило явні дозволи «Дозволити» мають пріоритет над успадкованими дозволами «Заборонити».
Обидва набори дозволів можна призначити у вікні властивостей файлу або папки. Дозволи NTFS призначаються на вкладці Безпека вікна властивостей. Дозволи на спільний доступ призначаються на вкладці «Спільний доступ», клацнувши «Розширений спільний доступ», а потім клацнувши «Дозволи».