Вопрос или проблема
Мне трудно понять разрешения NTFS. Насколько я знаю, лучше избегать назначения конкретных учетных записей пользователей для NTFS и вместо этого использовать группы. Итак, я создал папку, владельцем которой является группа администраторов. Я удалил все учетные записи пользователей из папки и затем добавил группу администраторов с полным контролем.
Я вошел в компьютер как пользователь, который принадлежит группе администраторов. Однако, когда я открываю свойства безопасности на папке, отображается сообщение: “вам необходимо иметь разрешения на чтение, чтобы просмотреть свойства этого объекта.” Я могу нажать “Дополнительно” и “Продолжить” и редактировать свойства, но если я не добавлю свою учетную запись пользователя в разрешения или не сделаю свою учетную запись владельцем, я получаю вышеуказанное сообщение. Хотя моя учетная запись является частью группы администраторов, разрешения, похоже, не распространяются так, как ожидалось. Почему мне нужно конкретно назначать свою учетную запись пользователя, когда я назначил группу, к которой относится моя учетная запись? Спасибо!
Одна из возможностей это
Файл был помечен для удаления.
Удаление файла в Windows это асинхронное действие. Вызов DeleteFile() помечает файл для удаления и возвращает управление. Операционная система завершает операцию удаления позже. Обычно это происходит мгновенно, но в некоторых ситуациях может быть заметная задержка. Простой пример — это серверная среда, где удаленные пользователи могут иметь открытые дескрипторы файлов (например, SMB/CIFS) на файле, который должен быть удален. Удаление будет отложено, пока все открытые дескрипторы не будут закрыты. Тем временем запись в каталоге останется присутствующей, но любые новые операции ввода-вывода на файле завершатся с ошибкой. В этой ситуации результатом является файл, который даже администратор не может прочитать, изменить разрешения/ACL или стать владельцем. Как только все удаленные пользователи закроют файл, удаление завершится.
Чтобы просмотреть (и даже принудительно закрыть) открытые дескрипторы, смотрите например в “Управлении компьютером” -> “Системные инструменты” -> “Общие папки” -> “Открытые файлы” (compmgmt.msc)
Ответ или решение
Понимание NTFS разрешений: Проблема «вам нужны права на чтение, чтобы просмотреть свойства этого объекта»
Ваш вопрос касается NTFS разрешений и, конкретно, ситуации, когда вы, являясь членом группы администраторов, сталкиваетесь с сообщением «вам нужны права на чтение, чтобы просмотреть свойства этого объекта». Давайте подробно разберем причины этой проблемы и предоставим несколько рекомендаций по её решению.
Фон ситуации
Вы правильно заметили, что для обеспечения безопасности и упрощения администрирования лучше использовать группы, а не назначать конкретные учетные записи пользователей. В вашем случае, вы создали папку, владельцем которой является группа администраторов, и предоставили ей полные права. При попытке открыть свойства безопасности папки вы заметили, что система не позволяет вам это сделать, даже несмотря на то, что вы находитесь в группе администраторов.
Возможные причины проблемы
-
Отсутствие унаследованных прав:
Изначально, когда вы настраиваете разрешения для папки, важно помнить о том, как функционирует унаследование прав. Убедитесь, что "Унаследовать разрешения от родительского объекта" активно. В противном случае, если вы вручную удалили все другие учетные записи, кроме группы администраторов, это может привести к тому, что у вас не будет необходимых прав для доступа к папке. -
Роль владельца:
Даже если ваша учетная запись принадлежит группе администраторов, важно понимать, что уровень прав зависит также от владельца объекта. Если ваша учетная запись не является владельцем папки, могут возникнуть ограничения, в том числе невозможность изменения разрешений. Проверьте, кто является владельцем папки, и, если это необходимо, попытайтесь изменить владельца, чтобы упростить управление разрешениями. -
Заблокированные или удалённые файлы:
Как было сказано в приведённом вами описании, возможна ситуация, что файл был помечен для удаления. Это может произойти, если файл открыт другим пользователем или процессом, и удаление происходит асинхронно. В таких случаях даже администраторы могут столкнуться с невозможностью получить доступ к файлу, пока не закроются все открытые им дескрипторы. -
Специфика групповых разрешений:
В некоторых случаях групповые разрешения могут не работать как ожидается, если ваши объектные разрешения (ACL) настроены неправильно. Изучите настройки разрешений и проверьте, нет ли явных запретов, которые могут препятствовать вашей учетной записи даже как члену группы администраторов.
Рекомендации по исправлению
-
Проверка и изменение владельца:
Попробуйте сменить владельца папки на вашу учетную запись, чтобы получить полный контроль над разрешениями. Сделать это можно через раздел "Дополнительно" в свойствах папки, выбрав "Изменить" (Change) рядом с текущим владельцем. -
Восстановление унаследованных разрешений:
Если унаследование отключено, рассмотрите возможность его включения. Это может быть сделано через вкладку "Безопасность" в свойствах папки, нажав на "Изменить" (Edit) и установив соответствующий флажок. -
Закрытие открытых дескрипторов:
Если проблема связана с асинхронным удалением файлов, проверьте активные дескрипторы с помощью инструмента "Управление компьютером" (compmgmt.msc) и закройте их при необходимости. -
Создание отдельной группы:
Возможно, в вашем случае целесообразно создать отдельную группу с конкретными правами для управления папкой и явно добавить туда нужные учетные записи. Это также может помочь устранить противоречия при управлении разрешениями.
Заключение
Разрешения NTFS обеспечивают важные механизмы безопасности для управления доступом к файловой системе Windows. Однако неправильная конфигурация может привести к затруднениям, как в вашем случае. Правильный подход к управлению владельцем и разрешениями, а также понимание работы групп и унаследования помогут вам избежать подобных проблем в будущем. Если информация была полезна, будьте уверены, что такое внимание к деталям позволит поддерживать безопасность и функциональность вашей системы в долгосрочной перспективе.