NW09 NTFS machtigingen Bij de installatie van het besturingssysteem kan je kiezen of je de schijf wil formatteren in het bestandssysteem FAT of in het bestandssysteem NTFS. Op schijven die geformatteerd zijn met het bestandssysteem NTFS kan je niet alleen bij sharing toegangsrechten instellen, maar ook via Properties → Security. Verder wordt op dergelijke volumes aan elk bestand (of map) een eigenaar gekoppeld en kunnen bestanden en mappen gecomprimeerd en geëncrypteerd worden.
9.1 NTFS Machtigingen voor bestanden en mappen Op NTFS volumes wordt aan elk bestand en aan elke map een ACL (Access Control List) gekoppeld. Dit is te vergelijken met een lijst met namen van personen die machtigingen voor een map of bestand hebben. Als een gebruiker toegang tot een bestand of een map probeert te krijgen, wordt de ACL voor dat bestand of die map geraadpleegd. Als de gebruiker niet in die lijst voorkomt, krijgt hij geen toegang. Als hij er wel in voorkomt (of lid is van een groep die er in voorkomt), wordt er snel gekeken welke machtigingen die gebruiker heeft. Toegangsrechten via Security gelden zowel voor lokale benadering als voor benadering via het netwerk en kunnen zowel op het niveau van mappen als van bestanden ingesteld worden. Daar staat tegenover dat ze alleen op NTFS volumes kunnen ingesteld worden. Zowel voor mappen als voor bestanden kunnen standaardmachtigingen en geavanceerde machtigingen ingesteld worden. 9.1.1 Standaardmachtigingen Mappen kennen de volgende standaardmachtigingen : •
•
• •
Full Control : gebruikers mogen alle taken uitvoeren (dus ook het toekennen van machtigingen aan andere gebruikers. Modify : gebruikers mogen nieuwe bestanden maken, nieuwe subdirectory’s maken en bestanden en submappen verwijderen. Gebruikers hebben tevens het recht te zien welke machtigingen andere gebruikers in die map hebben. Read & Execute : gebruikers mogen bestanden lezen en uitvoeren. List Folder Contents : gebruikers kunnen de bestandsnamen in de directory bekijken.
NW09 NTFS machtigingen
147
Jan De Deurwaerder
• • •
Read : gebruikers kunnen de bestanden in de directory bekijken en zien welke andere gebruikers hier rechten hebben. Write : gebruikers mogen nieuwe bestanden schrijven en zien wie hier nog meer rechten heeft. Special permissions : andere rechten (doorgaans geavanceerde machtigingen : zie hieronder)
Bestanden kennen de volgende standaardmachtigingen : • • • • •
Full Control : gebruikers mogen alle taken uitvoeren (dus ook het toekennen van machtigingen aan andere gebruikers). Modify : gebruikers mogen bestaande bestanden aanpassen, overschrijven of verwijderen Gebruikers hebben tevens het recht te zien welke machtigingen andere gebruikers hier hebben. Read & Execute : gebruikers mogen bestanden lezen en uitvoeren en zien welke andere gebruikers hier rechten hebben. Read : gebruikers kunnen de bestanden in de directory bekijken en zien welke andere gebruikers hier rechten hebben. Write : gebruikers mogen het bestand overschrijven en zien wie hier nog meer rechten heeft.
In de praktijk kent u bij voorkeur nooit rechten toe op bestandsniveau, altijd op directory-niveau. 9.1.2 Geavanceerde machtigingen Je bereikt de Geavanceerde Machtigingen door in het tabblad Security te klikken op Advancend en vervolgens in het tabblad Permissions te klikken op de knop Edit. Traverse Folder/Execute File Het doorlopen van mappen geldt uitsluitend voor mappen. Het kan voorkomen dat u bestanden uitvoert die weer bestanden in andere mappen aanroepen. Stel dat u een bestand uitvoert in de map PROG1 , waarvoor u uitsluitend het alleen-lezen-recht hebt. Met deze machtigingen kunt u alles doen wat nodig is om het bestand uit te voeren. Maar wat nu als dat bestand een ander bestand in een submap probeert aan te roepen, drie niveaus onder PROG1, en u hebt geen toegang tot de mappen onder PROG1? Als u een map waarvoor u geen toegang hebt probeert te doorlopen, krijgt u doorgaans een bericht “Acces Denied” te zien. Met Traverse Folder kunt u die machtigingen doorbreken zodat u toch het gewenste doel bereikt.
NW09 NTFS machtigingen
148
Jan De Deurwaerder
De machtiging Execute File geldt alleen voor bestanden. Als het bestand een EXE-, COM of ander uitvoerbaar bestand is, kunt u dat bestand uitvoeren met deze machtiging. List Folder / Read Data Met de machtiging List Folder kunt u map en bestandsnamen binnen een bepaalde map bekijken. Met Read Data kunt u de inhoud van een bestand weergeven. Deze machtiging is het belangrijkste onderdeel van de machtiging Read. Neem nu de scheiding tussen deze twee machtigingen. Is er nu in feite een verschil ? Jawel, maar waarschijnlijk niet lang meer. Vroeger werkte men nog met bestanden en directories; nu werkt men met bestanden en mappen. Binnenkort gaat men echter werken met objecten. Alles op uw computer is een object – bestanden èn mappen. Deze machtiging kan dus bijna herschreven worden als Read Object. Met deze machtiging kunt u dus de inhoud van een object lezen, ongeacht of het over een bestand of een map gaat. Read attributes Elementaire bestandskenmerken zijn bv Read-Only, Hidden, System en Archive. Met deze machtiging kunt u deze kenmerken lezen. Read extended attributes Bepaalde programma’s werken met andere kenmerken voor hun bestandstypes. Als u bv MS Word geïnstalleerd hebt, en u bekijkt de bestandskenmerken van een bastand .doc, ziet u allerlei kenmerken verschijnen : auteur, onderwerp, titel, … Dit zijn de uitgebreide kenmerken en deze variëren van programma tot programma. Met Read Extended Attributes kunt u deze kenmerken weergeven. Create Folders / Append data Met Create Folders kunt u mappen in mappen maken. Met Append Data kunt u gegevens toevoegen aan het einde van een bestand, meer geen gegevens in het bestand wijzigen. Write Attributes Hiermee kunt u de elementaire kenmerken van een bestand wijzigen. Write Extende Attributes Hiermee kunt u de uitgebreide kenmerken van een bestand wijzigen. Delete Subfolders and Files Met deze machtiging kunt u submappen en bestanden verwijderen, zelfs al hebt u geen machtiging Delete op de folder. Onder het knopje van de volgende machtiging (Delete) kunt u lezen dat u met die machtiging een bestand of map kunt verwijderen. Wat is nu het verschil ? Met de machtiging Delete Subfolders and Files wordt de inhoud van een map verwijderd. Met andere woorden, met de machtiging Delete kunt u een bepaald object verwijderen en met deze machtiging de inhoud van dat object.
NW09 NTFS machtigingen
149
Jan De Deurwaerder
Delete Met Delete kunt u een object verwijderen. Stel dat u alleen de machtiging hebt om een map te verwijderen, en niet de hogere machtiging om submappen en bestanden te verwijderen. Voor een bestand in die map hebt u geen toegangsrechten. Kunt u die map dan verwijderen ? Nee. U kunt de map niet verwijderen totdat deze leeg is. Dit betekent dus dat u eerst het bestand moet verwijderen. U kunt het bestand niet verwijderen zonder machtigingen Delete voor het bestand of machtigingen Delete Subfolders and Files voor de parent-map van het bestand. Read Permissions Hiermee kunt u alle NTFS-machtigingen voor een bestand of map weergeven. U kunt niets wijzigen. Change Permissions Hiermee kunt u de machtigingen voor een bestand of map wijzigen. Take Ownership Met deze machtiging kunt u het eigenaarschap van een bestand of map overnemen. Eigenaarschap wordt later in dit hoofdstuk behandeld. Als u eenmaal de eigenaar bent, hebt u het recht om machtigingen te wijzigen. Beheerders kunnen altijd het eigenaarschap van een bestand of map overnemen (en zullen dat in de praktijk ook regelmatig moeten doen : zie verder). 9.1.3 Overerving van machtigingen Mappen worden aangemaakt in een structuur met parents (bovenliggende mappen) en children (onderliggende mappen). In deze paragraaf betekent hoofd steeds de map die zich op het hoogste niveau bevindt. Als u bepaalde machtigingen aan een parent toekent, nemen de childbestanden en de childmappen eronder automatisch de machtigingen van de map over. U kunt de overname echter blokkeren zodat nieuwe bestanden en mappen de machtigingen van de parent niet overnemen. Als u dit doet, maakt u eigenlijk een nieuwe parent waarop de normale overnameeigenschappen van toepassing zijn : childmappen en childbestanden onder deze nieuwe parent krijgen dezelfde machtigingen als die aan de parent werden toegekend. Het toekennen van machtigingen aan afzonderlijke bestanden kan altijd expliciet gebeuren.
NW09 NTFS machtigingen
150
Jan De Deurwaerder
Hoewel het zo is dat nieuwe bestanden machtigingen van de parentmap overnemen, hoeven ze deze niet te houden. Willen we de overerving uitschakelen, dan vinken we het keuzevakje uit (Advanced ) tabblad Permissions). We krijgen dan onderstaan scherm te zien :
Wat er in feite wordt gevraagd is : wilt u beginnen met de geërfde machtigingen als basis (Copy), met niets (Remove) of wilt u de bewerking annuleren (Cancel) ? De opdracht Copy schakelt het erven van machtigingen uit, maar kopieert wel de machtigingen van de parent-map. Doorgaans wordt er gekozen voor Copy al zal alles uiteraard van het gewenste resultaat afhangen. U zal merken dat het nu wel mogelijk zal zijn de rechten aan te passen (de vinkjes bij de rechten zijn nu ingeschakeld).
NW09 NTFS machtigingen
151
Jan De Deurwaerder
9.1.4 NTFS machtigingen en groepen Als een gebruiker lid is van meer dan één groep waaraan bestands- of directoryrechten zijn toegekend, worden die rechten samengevoegd om de effectieve machtigingen van de gebruiker te bepalen. Ook hier , net zoals bij de toegangsrechten ingesteld via sharing , speelt Deny een bijzondere rol : Deny overschrijft alle andere machtigingen. 9.1.5 Het combineren van toegangsrechten Zoals vermeld : - zijn voor een gebruiker alleen toegangsrechten ingesteld via het tabblad sharing, dan krijgt een gebruiker uiteindelijk de unie van alle toegangsrechten op dat tabblad bekomen via èèn of andere groep waarvan hij lid is, met uitzondering van het recht Deny dat voorrang heeft op alle andere rechten. - Zijn voor een gebruiker alleen toegangsrechten ingesteld via security, krijgt de gebruiker uiteindelijk de unie van alle toegangsrechten bekomen via één of andere groep waarvan hij lid is, weer met uitzondering van het recht Deny dat voorrang heeft op alle rechten. Zijn voor een gebruiker toegangsrechten via beide tabbladen ingesteld, dan krijgt hij uiteindelijk alleen de toegangsrechten die hij via beide tabbladen krijgt. Microsoft raadt dan ook aan, om de toegangsrechten een beetje overzichtelijk te houden, om als je op een NTFS schijf werkt via het tabblad Sharing altijd Everyone Full Control te geven en de gewenste toegangsrechten uitsluitend via het tabblad Security te organiseren. Vermijd hierbij ook zoveel mogelijk het gebruik van Deny. Werk je op FAT, dan heb je alleen de Sharing rechten om je zaken te regelen. 9.1.6 Enkele tips i.v.m. beveiliging Een gedistribueerd beveiligingssysteem vereenvoudigd het beheer van de rechten en permessies. Hoe gaan we te werk ? • • • • •
Wijs steeds (zoveel mogelijk) userrights toe op basis van groepen. Vertrouw op het principe van overerving van de groepen. Het is namelijk zeer inefficiënt om de beveiliging direct op user niveau toe te passen. Hoogst uitzonderlijk wordt dit gedaan. Stel de rechten in zo hoog mogelijk in de boomstructuur. Op deze wijze verkrijg je de grootste uitwerking met de minste moeite. De rechten die je hier instelt zullen voldoen voor de meeste beveiligingseisen. Gebruik het principe van inheritance om de rechten naar een lager niveau te verspreiden. Hiermee kan je zeer snel alle kinderen van een bepaalde ouder een bepaald recht toekennen. Delegeer de administratie van de verschillende containers tot de verantwoordelijke van die containers. Hierdoor daalt de cost of ownership.
NW09 NTFS machtigingen
152
Jan De Deurwaerder
9.1.7 Problemen met toegangsrechten Probleem Een gebruiker krijgt geen toegang tot een bestand of een map.
Een gebruiker wordt toegevoegd aan een groep om toegang te krijgen tot een bepaalde map of een bestand, maar de gebruiker kan nog altijd geen toegang krijgen. Een gebruiker met Full Control op een map verwijdert een bestand in de map alhoewel hij geen verwijderrechten heeft voor het bestand zelf. Je wil voorkomen dat de gebruiker nog andere bestanden verwijdert.
Oplossing Nagaan of het bestand of de map gekopiëerd of verplaatst is en zo nieuwe toegangsrechten heeft verkregen. De toegangsrechten controleren van de gebruiker en van alle groepen waar de gebruiker deel van uit maakt. Let ook op of er nergens Deny wordt gebruikt. Om de nieuwe toegangsrechten van tel te laten worden moet de gebruiker ofwel afmelden en terug aanmelden, ofwel alle netwerkconnecties met de bron waartoe hij toegang wil, verbreken en daarna terug een connectie leggen. Haal het vinkje weg bij het bijzondere toegangsrecht Delete Subfolders and Files van de map om te vermijden dat gebruikers met Full Control bestanden uit de map kunnen verwijderen.
9.2 De eigenaar van een bestand of een map Een administrator heeft niet altijd toegang tot alle mappen en bestanden (bv vertrouwelijke informatie). Toch moet hij alle bestanden en mappen kunnen beheren. Om een map waartoe hij geen toegang heeft te beheren kan hij owner worden van die map. Een owner van een map of bestand is een gebruiker die de toegangsrechten tot de map of het bestand mag aanpassen. Hij hoeft daarom geen toegang te krijgen tot de map of het bestand. Standaard is de maker van een map of bestand ook meteen de owner. Een administrator kan het ownership overnemen. Dit laat wel sporen na. • • • •
•
klik met de rechtermuisknop op het bestand of de map in kwestie kies properties → security → advanced activeer het tabblad owner selecteer je naam in de lijst, of klik op de knop “Other Users of Groups” om anderen dan administrators aan te duiden als eigenaar. klik op apply
Het vinkje Replace owner on subcontainers and objects zorgt er voor dat je meteen ook het ownership voor alle submappen en bestanden in die map overneemt.
NW09 NTFS machtigingen
153
Jan De Deurwaerder
BELANGRIJK Vaak is het zo dat vanaf nu de gebruiker die de betrokken map aangemaakt heeft (de oude Owner dus) nu helemaal niet meer in die map kan, omdat hij de rechten die hij of zij vroeger had volledig te danken had aan zijn of haar Ownership. Omwille van het feit dat u het Ownership overgenomen heeft, heeft de gebruiker geen enkel recht meer. Zorg er dan ook voor (tenzij het de bedoeling was alle rechten af te nemen) dat betrokken gebruiker opnieuw voldoende rechten krijgt op de klassieke manier. 9.3 Bestanden en mappen op NTFS comprimeren NTFS biedt als extra mogelijkheid afzonderlijke mappen en bestanden te comprimeren waardoor u ruimte op de schijf bespaart. De eindgebruiker merkt van deze bewerking niets : de gebruiker vraag een bestand op, waarna dit wordt gedecomprimeerd zodat het kan worden gebruikt. Als het wordt opgeslagen, wordt het bestand automatisch opnieuw gecomprimeerd. Vaak is de overhead voor de uitvoering van deze bewerking te verwaarlozen, omdat compressie van de bestanden ervoor zorgt dat de schijfkop minder hoeft te bewegen. U kunt het best bestanden comprimeren waarnaar weinig wordt geschreven omdat schrijven meer tijd van de processor vraagt dan lezen. Daarnaast is er weinig behoefte reeds gecomprimeerde bestanden te comprimeren, zoals .jpg of .zip bestanden. Als een bestand al is gecomprimeerd, voegt extra compressie niets toe. Als u een map comprimeert, kunt u ervoor kiezen automatisch alle mappen erin te comprimeren. Als een map is gecomprimeerd, betekent dat niet automatisch dat de bestanden erin gecomprimeerd zijn. Bestanden en mappen kunnen elk afzonderlijk wel of niet gecomprimeerd zijn. Als u een niet-gecomprimeerd bestand in een gecomprimeerde map plaatst, wordt het bestand echter automatisch gecomprimeerd. In feite neemt het niet-gecomprimeerde bestand het compressiekenmerk van de parentmap over.
NW09 NTFS machtigingen
154
Jan De Deurwaerder
Om een map te comprimeren klik je met de rechtermuisknop op de map in kwestie, selecteer Properties en in het tabblad General klik je op de knop Advanced. Vervolgens zet je een vinkje bij de optie Compress contents to save disk space. Van zodra u op OK klikt, wordt u gevraagd of u de comprimatie enkel wenst toe te passen op deze map of op alle mogelijk subfolders (en bestanden in die subfolders) van deze map. U merkt in de verkenner van Windows aan de kleur van de mappen (een blauwe tekstkleur) dat de mappen gecomprimeerd zijn :
9.4 Bestanden en mappen kopiëren en verplaatsen Als u bestanden met NTFS-machtigingen (zoals alleen lezen) of kenmerken (zoals compressie) kopieert of verplaatst naar een andere directory of volume (schijf), is het goed dat u weet wat die handeling tot gevolg heeft. Vaak gaan bestandsmachtigingen en bestandskenmerken onverwacht verloren als bestanden worden gekopieerd of verplaatst. 9.4.1. Bestanden en mappen kopiëren Als u bestanden naar FAT-partities kopieert, gaan alle NTFS-machtigingen voor het gekopieerde bestand direct verloren. FAT-partities zijn namelijk niet beveiligd. Als u bestanden of mappen naar een andere directory met NTFS-machtigingen kopieert, neemt het gekopieerde bestand automatisch de machtigingen van de doeldirectory over. Het maakt niet uit of de directory zich op hetzelfde volume of op een andere computer bevindt. De regel luidt : gekopieerde bestanden nemen de machtiging van de map over. Dit geldt ook voor het kenmerk comprimeren : als u een gecomprimeerd bestand naar een niet-gecomprimeerde map kopieert, wordt het bestand niet-gecomprimeerd. Het kenmerk compressie wordt namelijk van de parentmap overgenomen. 9.4.2. Bestanden en mappen verplaatsen Als u een bestand naar een FAT-partitie verplaatst, gaan alle machtigingen voor het verplaatste bestand direct verloren. Als het bestand bovendien in NTFS is gecomprimeerd, wordt het niet op dat FAT-volume gecomprimeerd. Win2003 kan geen gecomprimeerde FAT-volumes lezen of ernaar schrijven. Gecomrpimeerde FAT-volumes worden bv gemaakt met het hulpprogramma van Win98 DriveSpace of met hulpmiddelen van derden, zoals Stacker.
NW09 NTFS machtigingen
155
Jan De Deurwaerder
Als bestanden en mappen worden verplaatst, ontvangen ze machtigingen afhankelijk van waarnaar ze worden verplaatst : • als het bestand of de map binnen hetzelfde NTFS-volume wordt verplaatst, behoudt het bestand of de map zijn oorspronkelijke machtigingen. • Als het bestand of de map naar een ander NTFS-volume wordt verplaatst, wordt de bewerking als kopieer-verwijder-handeling gezien. Het bestand of de map verliest zijn oorspronkelijke machtigingen en neemt de machtigingen van de doelmap over. • Gecomprimeerde of niet gecomprimeerde bestanden of mappen vertonen hetzelfde gedrag. Gecomprimeerde bestanden en mappen blijven gecomprimeerd als ze binnen hetzelfde NTFS-volume worden verplaatst. Als de verplaatsing tussen twee volumes plaats heeft, nemen gecomprimeerde bestanden en mappen de compressiekenmerken van de doelmap over.
NW09 NTFS machtigingen
156
Jan De Deurwaerder
