Windows biedt twee sets machtigingen om de toegang tot bestanden en mappen te beperken: NTFS-machtigingen en machtigingen voor delen.
- NTFS-machtigingen worden toegepast op alle bestanden en mappen die zijn opgeslagen op een volume dat met het NTFS-bestandssysteem is geformatteerd. Standaard worden machtigingen overgeërfd van een hoofdmap naar de bestanden en submappen daaronder, hoewel deze overerving kan worden uitgeschakeld. NTFS-machtigingen gelden ongeacht of een bestand of map lokaal of op afstand wordt geopend. NTFS-machtigingen bieden op basisniveau de toegangsniveaus 'Lezen', 'Lezen en uitvoeren', 'Schrijven', 'Wijzigen', 'Mapinhoud weergeven' en 'Volledige controle', zoals hieronder wordt weergegeven:
Er is ook een geavanceerde set NTFS-machtigingen die de basistoegangsniveaus in meer granulaire instellingen verdeelt. Deze geavanceerde machtigingen verschillen per type object waarop ze worden toegepast. De geavanceerde machtigingen voor een map worden hieronder weergegeven:
- Machtigingen voor delen worden alleen toegepast op gedeelde mappen. Ze worden van kracht wanneer een gedeelde map wordt geopend via een netwerk vanaf een extern systeem. De machtigingen voor delen voor een gedeelde map zijn van toepassing op de map en de inhoud ervan. Machtigingen voor delen zijn minder granulair dan NTFS-machtigingen en bieden de toegangsniveaus 'Lezen', 'Wijzigen' en 'Volledige controle':
Het belangrijkste om te onthouden over NTFS-machtigingen en deelmachtigingen is de manier waarop ze worden gecombineerd om de toegang te reguleren.
De regels voor het bepalen van het toegangsniveau van een gebruiker tot een bepaald bestand zijn als volgt:
- Als het bestand lokaal wordt geopend, worden alleen de NTFS-machtigingen gebruikt.
- Als het bestand via een gedeelde map wordt benaderd, worden NTFS-machtigingen en machtigingen voor delen gebruikt en is de meest beperkende machtiging van toepassing. Als bijvoorbeeld de machtigingen voor delen van de gedeelde map de gebruiker leestoegang verlenen en de NTFS-machtigingen de mogelijkheid tot wijzigen, wordt het effectieve machtigingsniveau van de gebruiker 'Lezen' wanneer de gedeelde map op afstand wordt geopend en 'Wijzigen' wanneer de map lokaal wordt geopend.
- De individuele machtigingen van een gebruiker worden gecombineerd met de machtigingen van de groepen waarvan de gebruiker lid is. Als een gebruiker leestoegang heeft tot een bestand, maar lid is van een groep die hetzelfde bestand mag wijzigen, wordt het effectieve machtigingsniveau van de gebruiker 'Wijzigen'.
- Machtigingen die rechtstreeks aan een bepaald bestand of een bepaalde map zijn toegewezen (expliciete machtigingen) hebben voorrang boven machtigingen die van een bovenliggende map zijn geërfd (overgeërfde machtigingen).
- Expliciete weigeringsmachtigingen hebben voorrang boven expliciete toestemmingsmachtigingen, maar vanwege de voorgaande regel hebben de expliciete toestemmingsmachtigingen voorrang boven overgeërfde weigeringsmachtigingen.
Beide typen machtigingen kunnen in het eigenschappenvenster van een bestand of map worden toegewezen. NTFS-machtigingen worden toegewezen in het tabblad Beveiliging van het venster Eigenschappen. Machtigingen voor delen worden toegewezen op het tabblad Delen door te klikken op Geavanceerd delen en vervolgens op Machtigingen.