Как отключить параметр наследования разрешений Windows 10?

Назначение и изменение разрешений для файлов и папок в Windows 8.1

Назначение, просмотр и изменение разрешений производится на вкладке Безопасность диалогового окна Свойства. Чтобы его вызвать, необходимо нажать на файле или папке правой кнопкой мыши и в контекстном меню выбрать Свой­ства.

Также диалоговое окно Свойства можно вызвать нажав клавишу Alt на клавиатуре и сделать двойной щелчок левой кнопкой мыши по нужному файлу или папке.

В открывшемся диалоговом окне Свойства выбираем вкладку Безопасность.

На вкладке Безопасность можно увидеть, каким пользовате­лям и группам доступ определен и какие им предоставлены разрешения. Информацию о дополнительных параметрах доступа (в том числе и о специальных разрешениях) можно получить, нажав кнопку Дополнительно.

Может так случиться, что вкладка Безопасность в окне Свойства у вас не отображается. Убедитесь, что файл или папка располагается на NTFS-разделе.

Назначение разрешений для файлов

Задание разрешений для какого-либо файла производится следующим образом:

1. Нажимаем пра­вой кнопкой мыши по нужному файлу и в контекстном меню выбираем Свой­ства, а в появившемся диалоговом окне переходим на вкладку Безопасность.

2. Далее смотрим на приведенный в верхней части вкладки список пользователей и групп пользователей, которым уже определены разрешения для данного файла. Вы можете либо выбрать пользо­вателя и изменить установленные для него разрешения, либо добавить или полностью удалить пользователя (или группу пользователей). В любом случае необходимо нажать кнопку Изменить.., а потом выбрать нужное действие: кнопки Добавить.. и Удалить.

3. При добавлении пользователя после нажатия на кнопку Добавить появится диалоговое окно Выбор: «Пользователи» или «Группы». В нем можно либо сразу ввести имя пользователя (или группы) в поле Введите имена выбираемых объектов — но ввести его нужно правильно, либо воспользоваться инструментом поиска, нажав на кнопку Дополнительно.

В первом случае (при ручном вводе имени) нужно будет нажать на кнопку Проверить имена, чтобы проверить пра­вильность введенных имен. Кстати говоря, тип вводимых объек­тов (Пользователь, Группа пользователей, Встроенные участники безопасности) выбирается нажатием кнопки Типы объектов.

Во втором случае при проведении поиска, перед нами появится еще одно диалоговое окно, в котором нужно сразу нажать на кнопку Поиск. После этого внизу окна появится список всех групп и пользователей, имеющихся на компьютере. Остается лишь выбрать необходимые.

4. Закончив задание имен пользователей и групп, закройте окно Выбор: «Пользователи» или «Группы» нажатием на кнопку ОК.

5. Сам процесс задания разрешений производится следующим образом:

На вкладке Безопасность в области Группы или Пользователи выбираете имя пользователя или группы, а внизу, в области Разрешения, путем проставления флажков назначаете или запрещаете то или иное стандартное разрешение. Чтобы установить разрешение, нужно напротив него установить флажок в столбце Разрешить, а чтобы отказать в данном разрешении — установить флажок в столбце Запретить. Всего доступно 5 стандартных разрешений — Полный доступ, Изменение, Чтение и выполнение, Чтение, Запись.

6. Если вы хотите более детально назначить разрешения, в том числе и специальные разрешения, то необходимо нажать на кнопку Дополнительно на вкладке Безопасность.

При задании разрешений обратите внимание на две существенные осо­бенности. Во-первых, установка или запрет какого-либо разрешения может автоматически влиять на другие разрешения. Например, уста­новив разрешение «Полный доступ», вы автоматически установите все остальные возможные разрешения.

Второе, на что необходимо обращать внимание — это то, что отсутствие какого-либо разрешения (флажок не стоит ни в столбце Разрешить ни в столбце Запретить) не эквивалентно запрету этого разрешения (флажок стоит в столбце Запретить).

Если разрешение не определено, то оно, как правило, наследуется от родительской папки, в которой содержится файл. А в этом случае могут возникать неприятные ситуации. Например, доступ к папке предостав­лен, а к файлу он должен быть запрещен. Так вот, если явно этого зап­рета не задать, то разрешение будет унаследовано от папки — то есть доступ будет разрешен.

Если вы захотите более «тонкой» настройки разрешений и на вкладке Безопасность нажмите на кнопку Дополнительно, перед вами откроется диалоговое окно Дополнительные параметры безопасности. В этом диалоговом окне имеется несколько вкладок.

На вкладке Разрешения отображается перечень элементов управления доступом для данного файла. При этом указыва­ются имена пользователей и групп, которым установлены разрешения для данного файла, а также сами эти разрешения. Стоит обратить внимание на столбец Унаследовано от. В нем можно увидеть, от ка­кого объекта данный файл унаследовал разрешение для данного конк­ретного пользователя или группы. Как правило, файлы наследуют раз­решения от родительской папки, в которой они расположены.

Доступ к настройке специальных разрешений можно получить, нажав на кнопку Изменить на вкладке Разрешения.

После этого появится окно Элемент разрешения для» «, в котором нужно нажать на Отображение дополнительных разрешений.

В следующем диалоговом окне Элемент разрешения для» «, путем проставления/снятия флажков как раз и можно установить или отменить какие-либо специальные разрешения для файла.

Назначение разрешений для папок

Последовательность действий по назначению и изменению разрешений для папки повторяет вышеописанную последовательность для файлов. Однако есть небольшие дополнительные настройки, присущие только папкам, как контейнерам, вмещающим другие объекты. Для большей ясности приведено полное описание процедуры назначения разреше­ний для папки:

1. Выбираем нужную папку и щелкаем по ней правой кнопкой мыши. Затем в контекстном меню выбираем Свойства, а в появившемся диалоговом окне переходим на вкладку Безопасность.

Далее смотрим на приведенный в верхней части вкладки список пользователей и групп пользователей, которым уже определены разрешения для данной папки. Вы можете либо выбрать пользователя и изменить установленные для него разрешения, либо добавить или полностью удалить пользователя (или группу пользователей). Для этого, соответственно, предназначены кнопки Добавить и Удалить. Эти действия аналогичны действиям при настройке разрешений для файлов. Единственное, что нужно отметить — список стандартных разрешений для папок несколько отличает­ся от списка стандартных разрешений для файлов.

2. Сам процесс задания разрешений производится следующим обра­зом:

На вкладке Безопасность в области Группы или Пользователи выбираете имя пользователя или группы, а внизу, в области Разрешения, путем проставления флажков назначаете или запрещаете то или иное стандартное раз­решение. Если вы хотите более детально назначить разрешения, в том числе и специальные, то необходимо нажать на кнопку Дополнительно на вкладке Безопасность.

Стоит только помнить, что разрешения папок передаются вложенным в них объектам — файлам и папкам. Как запретить наследование разре­шений, сказано чуть ниже в этой статье.

Чтобы перейти к настройке специальных разрешений, так же, как и в случае с файлами, необходимо нажать на кнопку Дополнительно. Далее в появившемся диалоговом окне Дополнительные параметры безопасности вы увидите перечень элементов управления доступом к папке.

Чтобы изменить разрешения для какого-либо пользо­вателя или группы, нажмите на кнопку Изменить разрешения.

Далее выделяем нужную нам запись, если кнопка Изменить не доступна, то вы не сможете изменить дополнительные разрешения, потому что в окне Элемент разрешения, элементы управления будут не активны, для того чтобы они стали активными нажимаем кнопку Отключение наследования.

В появившемся диалоговом окне Блокировать наследование нажимаем Преобразовать унаследованные разрешения в явные разрешения этого объекта.

После этого кнопка Изменить стала доступной.

Далее выделяем нужную нам запись и нажимаем кнопку Изменить, или делаем двойной щелчок левой кнопкой мыши по нужной нам записи, откроется окно Элемент разрешения, где элементы управления будут активны и в нем нажимаем Отображение дополнительных разрешений.

Теперь можно установить специальные разрешения для папки, а также указать область их действия.

Область действия специальных разрешений папки задается в раскрыва­ющемся списке Применяется к. При этом возможны следующие варианты:

1. Только для этой папки.
2. Для этой папки, ее подпапок и файлов.
3. Для этой папки и ее подпапок.
4. Для этой папки и ее файлов.
5. Только для подпапок и файлов.
6. Только для подпапок.
7. Только для файлов.

Если НЕ установить флажок Применять эти разрешения к объектам и контейнерам только внутри этого контейнера, то заданные вами разре­шения будут распространяться не только на вложенные папки, но и на вложенные в них папки и так далее на все объекты, находящиеся ниже по дереву.

Примечание. Дерево папок (или дерево каталогов) — это образ, который обычно используют для визуального представления структуры папок. Именно в виде древовидной структуры отображаются папки в левой секции Проводника.

Если кнопки Изменить разрешения и Изменить не доступны, и элементы управления в окне Элемент разрешения не активны то также как в примере выше нажимаем кнопку Отключение наследования, в появившемся диалоговом окне Блокировать наследование нажимаем Преобразовать унаследованные разрешения в явные разрешения этого объекта. После этого кнопка Изменить будет доступна и элементы управления в окне Элемент разрешения станут активны, где вы и сможете установить дополнительные разрешения.

Если вы хотите добавить пользователя или группу пользователей и назначить им разрешения, нажмите кнопку Добавить.

Далее откроется окно Элемент разрешения, нажимаем Выберите субъект.

Далее в окне Выбор: «Пользователи» или «Группы» чтобы не вводить имена объектов вручную, воспользуемся поиском, для этого нажимаем кнопку Дополнительно.

В следующем окне нажимаем кнопку Поиск и внизу окна в результатах поиска выбираем пользо­вателя или группу для которого нужно задать или изменить разрешения, нажимаем кнопку OK.

Еще раз нажимаем кнопку OK.

Далее в окне Элемент разрешения нажимаем Отображение дополнительных разрешений.

Теперь можно установить дополнительные разрешения для добавленного пользователя или группы.

Наследование разрешений

В Windows 8, Windows 8.1 вложенные папки и файлы могут наследовать разрешения от родительской папки. По умолчанию так и происходит. При этом изменение разрешений родительской папки мгновенно передается на вложенные папки и файлы.

Однако если вы хотите установить для вложенных файлов и папок раз­решения, отличающиеся от разрешений родительской папки, то вы мо­жете отключить наследование разрешений. При этом возможны два варианта:

1. Вы хотите отменить наследование разрешений родительской папки для всех вложенных файлов и папок.
2. Вы хотите отменить наследование разрешений родительской папки лишь для некоторых вложенных файлов и/или папок.

В первом случае вы должны перейти на вкладку Безопасность для дан­ной папки, а затем нажать на кнопку Дополнительно. Далее переходите в режим редактирования разрешений для какого-либо пользователя или группы и в списке Применяется к указываете Только для этой папки.

Во втором случае необходимо перейти на вкладку Безопасность для дан­ного конкретного файла или папки, щелкнуть по кнопке Дополнительно и в появившемся окне Дополнительные параметры безопасности нажать кнопку Изменить разрешения.

Далее нажимаем кнопку Отключение наследования.

Затем в появившемся окне Блокировать наследование нажимаем Удалить все унаследованные разрешения из этого объекта.

Нажимаем кнопку ОК.

Кстати говоря, ниже предусмотрен флажок Заменить все записи разрешений дочернего объекта наследуемыми от этого объекта, название которого говорит само за себя.

Управление NTFS разрешениями на папки и файлы из PowerShell

Для управления доступом к файлам и папкам в Windows на каждый объект файловой системы NTFS (каталог или файл) назначается специальный ACL (Access Control List, список контроля доступа). В ACL объекта задаются доступные операции (разрешения), которые может совершать с этим объектом пользователь и/или группы .

В большинстве случаев администраторы Window для управления NFTS разрешениями на файлы и папки используют графический интерфейс File Explorer (свойства папки/файла -> вкладка Security/Безопасность) или консольную утилиту icacls. В этой статье мы рассмотрим способы управления разрешениями на объекты файловой системы NTFS из PowerShell.

Вы можете использовать эти команды в скриптах и для автоматизации управлением NTFS разрешениями на файловых серверах Windows.

Встроенные командлеты для управления ACL в NTFS: Get-Acl и Set-Acl

В PowerShell v5 (Windows 10 / Windows Server 2016) для управления ACL имеется два отдельных встроенных командлета (входят в модуль Microsoft.PowerShell.Security):

• Get-Acl — позволяет получить текущие ACL для конкретного объекта на файловой системе NTFS;
• Set-Acl – используется для добавления/изменения текущих ACL объекта.

Мы не будем подробно останавливаться на этих встроенных командлетах, т.к. их функционал в большинстве случае недостаточен для управления NTFS разрешениями в реальных задачах. Рассмотрим лишь несколько типовых примеров их использования.

Выведем текущего владельца папки (файла) и список назначенных NTFS разрешений:

get-acl C:\Drivers\ |fl

Path : Microsoft.PowerShell.Core\FileSystem::C:\Drivers\Owner : WORKSTAT1\rootGroup : WORKSTAT1\ОтсутствуетAccess : NT AUTHORITY\Authenticated Users Allow Modify, SynchronizeNT AUTHORITY\SYSTEM Allow FullControlBUILTIN\Администраторы Allow FullControlBUILTIN\Пользователи Allow ReadAndExecute, SynchronizeWORKSTAT1\root Allow Modify, SynchronizeAudit :

Sddl : O:S-1-5-21-3650440056-3766451173-3310994491-1001G:S-1-5-21-3650440056-766451173-3310994491-513D:PAI(A;OICI;0x 1301bf;;;AU)(A;OICI;FA;;;SY)(A;OICI;FA;;;BA)(A;OICI;0x1200a9;;;BU)(A;OICI;0x1301bf;;;S-1-5-21-3650440056-37664 51173-3310994491-1001)

Можно вывести только списки NTFS разрешений в более понятном формате:

С помощью следящей команды можно скопировать NTFS разрешения с одной папки и применить их на другую:

Get-Acl C:\Drivers | Set-Acl C:\Distr

проблема при использовании Set-ACL – командлет всегда пытается сменить владельца ресурса, даже если вы просто хотите изменить NTFS разрешения. В результате, чтобы добавить права на объект нужно использовать такую конструкцию:

$path = «c:\drivers»$user = «WORKSTAT1\user1″$Rights = «Read, ReadAndExecute, ListDirectory»$InheritSettings = «Containerinherit, ObjectInherit»$PropogationSettings = «None»$RuleType = «Allow»$acl = Get-Acl $path$perm = $user, $Rights, $InheritSettings, $PropogationSettings, $RuleType$rule = New-Object -TypeName System.Security.AccessControl.FileSystemAccessRule -ArgumentList $perm$acl.SetAccessRule($rule)

$acl | Set-Acl -Path $path

Чтобы убрать NTFS доступ к папке для пользователя или группы:$path = «c:\drivers»$acl = Get-Acl $path$rules = $acl.Access | where IsInherited -eq $false$targetrule = $rules | where IdentityReference -eq «WORKSTAT1\user1″$acl.RemoveAccessRule($targetrule)

$acl | Set-Acl -Path $path

Чтобы отключить наследование для папки из PowerShell:

$path = ‘C:\dist’$acl = Get-ACL -Path $path$acl.SetAccessRuleProtection($True, $True) # первый $True указывает, является ли данный каталог защищенным, второй $True – нужно ли скопировать текущие NTFS разрешения

Set-Acl -Path $path -AclObject $acl

Используем модуль NTFSSecurity для управления разрешениями из PowerShell

Как я уже говорил, встроенный модуль для управления ACL на объекты в PowerShell не самый удобный. Для управления NTFS правами на файлы и папки в Windows лучше использовать отдельный модуль их галереи PowerShell – NTFSSecurity. Последнюю версию модуля NTFSSecurity (4.2.4 на данный момент) можно установить командой Install-Module -Name NTFSSecurity, или скачать вручную (линк). При ручной установке достаточно распаковать содержимое архива модуля в каталог C:\Windows\System32\WindowsPowerShell\v1.0\ModulesTFSSecurity (не забудьте разблокировать скачанные файлы).

Импортируйте модуль NTFSSecurity в сессию PowerShell:

Выведем список команд, доступных в модуле (доступно 36 командлетов):

Get-Command -Module NTFSSecurity

Выведем текущие NTFS разрешения на каталог:
Get-Item ‘c:\distr’ | Get-NTFSAccess

Как вы видите, текущие разрешения представлены в более удобной форме.

Чтобы предоставить конкретному пользователю и группе группе полные права на папку, выполните команду:
Add-NTFSAccess -Path C:\distr -Account ‘WORKSTAT1\confroom’,’BUILTIN\Администраторы’ -AccessRights ‘Fullcontrol’ -PassThru

Чтобы предоставить права только на верхнем уровне и не изменять разрешения на вложенные объекты (только на папку), используйте команду:

Add-NTFSAccess c:\data\public -Account corp\aaivanov -AccessRights Modify -AppliesTo ThisFolderOnly

Удалить назначенные NTFS разрешения:

Remove-NTFSAccess -Path C:\distr -Account ‘WORKSTAT1\confroom’ -AccessRights FullControl -PassThru

Следующей командой можно лишить указанную учетную прав на все вложенные объекты в указанной папке (наследованные разрешения будут пропущены):

Get-ChildItem -Path C:\distr -Recurse | Get-NTFSAccess -Account ‘WORKSTAT1\confroom’ -ExcludeInherited |Remove-NTFSAccess -PassThru

Следующей командой можно назначить учетную запись Administrator владельцем всех вложенных объектов в каталоге:

Get-ChildItem -Path C:\distr -Recurse -Force | Set-NTFSOwner -Account ‘Administrator’

Чтобы очистить все разрешения, назначенные на объекты каталога вручную (не будет удалены унаследованные разрешения):

Get-ChildItem -Path C:\distr -Recurse -Force | Clear-NTFSAccess

Включить NTFS наследование для всех объектов в каталоге:

Get-ChildItem -Path C:\distr -Recurse -Force | Enable-NTFSAccessInheritance

Чтобы вывести все разрешения, которые назначены вручную, исключая унаследованные разрешения:

dir C:\distr | Get-NTFSAccess –ExcludeInherited

Можно вывести разрешения, назначенные для определенного аккаунта (не путайте с эффективными разрешениями, речь о них ниже):

dir C:\distr | Get-NTFSAccess -Account corp\aaivanov

Проверка эффективных NTFS разрешений на объекты из PowerShell

Вы можете проверить эффективные NTFS разрешения на конкретный файл или папку с помощью командлета Get-EffectiveAccess. Допустим вы предоставили доступ на некоторую папку нескольким группам безопасности AD и теперь хотите понять, есть ли у конкретного аккаунта (SID) доступ к данной папке или нет. Как это сделать, не выводя состав групп AD, в которых входит его учетная запись? В этой ситуации как раз поможет функция проверки эффективные NTFS разрешений. Допустим, нужно проверить эффективные права на все вложенные папки в каталоге для пользователя confroom.

Get-ChildItem -Path c:\distr -Recurse -Directory | Get-NTFSEffectiveAccess -Account ‘WORKSTAT1\confroom’ | select Account, AccessControlType, AccessRights, FullName

Либо вы можете проверить эффективные разрешения на конкретный файл:

Get-Item -Path ‘C:\distr\mstsc.exe.manifest’ | Get-NTFSEffectiveAccess -Account ‘WORKSTAT1\confroom’ | Format-List

Как запретить удаление файлов и папок в Windows 10? | Info-Comp.ru — IT-блог для начинающих

Приветствую Вас на сайте Info-Comp.ru! В этом материале я расскажу о простом способе защиты файлов и папок от удаления в операционной системе Windows 10. Данный способ предполагает использование стандартных средств Windows 10, иными словами, никакие сторонние программы использовать не нужно.

Зачем запрещать удаление файлов и папок?

Наверное, у многих на компьютере хранится много различной информации, включая важную информацию, которая была структурирована и разложена по папочкам. И такую информация потерять кране не хочется, но бывает и такое, что файл или целую папку кто-то может удалить, или Вы сами, например, случайно, другими словами, по умолчанию Ваши личные файлы и папки не защищены от удаления.

Однако в операционной системе Windows 10 есть стандартные инструменты, с помощью которых можно запретить удаление файлов и папок.

Таким образом, Вы очень легко можете включить запрет на удаление определённого файла или целой папки, в которой хранятся Ваши личные и важные данные, тем самым защитить их от случайного или даже преднамеренного удаления. В таком случае даже Вы не сможете удалить эти файлы и папки, предварительно не сняв этот запрет (т.е. если действительно Вам потребуется удалить файл или папку, нужно будет снять этот запрет).

Включаем запрет удаления файлов и папок в Windows 10

Давайте разберем пример, в котором нам нужно запретить удаление всех файлов и папок в определенной, важной для нас папке. При этом нам нужно иметь возможность добавлять новые файлы в эту папку, а также редактировать уже существующие файлы в ней.

Шаг 1 – Открываем свойства файла или папки

Итак, чтобы запретить удаление файлов и папок в ОС Windows 10 необходимо зайти в свойства объекта (файла или папки), в нашем случае папки, это можно сделать, щёлкнув правой кнопкой мыши, и нажать «Свойства».

Заметка! ТОП 8 полезных и нужных программ для Windows 10.

Шаг 2 – Переходим в настройки безопасности

Далее переходим на вкладку «Безопасность», именно там находятся параметры, отвечающие за разрешения на доступ к данному объекту.

Шаг 3 – Открываем дополнительные параметры безопасности

Затем открываем дополнительные параметры безопасности для настройки особых разрешений, так как в стандартных разрешениях нужного нам, т.е. запрета на удаление, нет.

Шаг 4 – Добавляем новый элемент разрешения

После открытия дополнительных параметров безопасности у нас отобразятся текущие элементы разрешений на данный каталог, нам нужно добавить новый элемент разрешения. Для этого нажимаем кнопку «Добавить».

Заметка! «Режим бога» в Windows – что это такое и как его включить в Windows 10?

Сначала нам нужно выбрать субъект, т.е. для кого (каких пользователей) будет действовать это разрешение.

Для выбора нажимаем кнопку «Выберите субъект».

Затем, так как мы хотим запретить удаление файлов и папок для всех, включая нас самих, нам можно (и нужно) выбрать специальную группу «Все», в которую включаются абсолютно все пользователи компьютера.

Для этого, если у Вас обычный домашний компьютер (я имею ввиду, он не в домене), Вы можете сразу написать в поле ввода имени слово «Все», и нажать «Проверить имена». И таким образом, если данная группа будет найдена, ее название будет подчеркнуто.

В случае если таким способом Вы не найдете группу «Все», можно зайти в настройки «Дополнительно» в этом же окне, и, используя поиск, найти нужную группу.

Также, в случае необходимости, Вы можете запретить удаление только некоторым пользователям, а не всем.

После того как определены пользователи или группа, к которой будет применяться наше разрешение, нажимаем «ОК».

Шаг 6 – Выбор типа разрешения

Сначала выбираем тип разрешения, т.е. что мы хотим «Разрешить» или «Запретить», мы хотим запретить удаление, поэтому выбираем «Запретить».

Заметка! Как узнать номер версии, номер сборки и выпуск Windows 10.

Шаг 7 – Выбор разрешений

Далее, нам осталось выбрать необходимые разрешения, но нужные нам по умолчанию не отображаются, поэтому сначала отображаем их используя кнопку «Отображение дополнительных разрешений».

После этого ставим и оставляем всего две галочки: «Удаление подпапок и файлов» и «Удаление».

Нажимаем «ОК» и данное окно закроется.

Затем, чтобы применить это разрешение в окне «Дополнительные параметры безопасности», нажимаем «Применить».

Windows 10 нас предупредит о том, что запрет имеет приоритет над разрешением, т.е. мы хоть и создали все эти папки и файлы и имеем полное право на их удаление, текущее разрешение будет в приоритете, и мы не сможем удалить эти файлы и папки.

Соглашаемся с этим, и нажимаем «Да».

Затем выходим из настроек по крестику.

Заметка! Как записать GIF с экрана компьютера.

Проверяем запрет на удаление

Теперь, если Вы или любой другой пользователь попытается удалить данную папку или файлы в ней, получит следующую ошибку

Однако, мы свободно можем создавать новые файлы в этой папке и редактировать их, на это у нас права есть. При этом все новые файлы, которые мы будем создавать в этой папке, будут наследовать запрет на удаление.

Отмена запрета на удаление

В случае если Вам потребуется переместить файлы или всю папку, а может быть удалить некоторые файлы и папки в этом каталоге, Вам придётся снять запрет на удаление.

Это делается путем простого удаления этого разрешения. Для этого Вам необходимо точно также зайти в дополнительные параметры безопасности, выбрать соответствующий элемент разрешения и нажать «Удалить», а затем «Применить».

-инструкция

У меня на сегодня все, надеюсь, материал был Вам полезен, пока!