Permissões em pastas e arquivos
Apesar desse assunto sempre ser discutido na comunidade técnica, muitos profissionais de TI ainda tem duvidas em relação as permissões em pastas e arquivos.
Tentarei explicar de uma forma simples para que ficar claro essa importante tarefa que e de dar permissões em pastas e arquivos.
Para começar, precisamos saber e entender os dois tipos de permissões que temos: a permissão de compartilhamento e a permissão de segurança.
A permissão de compartilhamento e a permissão que damos quando compartilhamos uma pasta, por exemplo, nela temos três tipos de permissão, controle total, como o próprio nome diz, os usuários que tem essa permissão têm o total controle sobre os objetos que estão debaixo dessa permissão, permissão alterar, usuários com essa permissão pode alterar, modificar, ler e excluir objetos debaixo dessa permissão.
Permissão somente leitura, usuários com essa permissão podem somente ler os objetos debaixo dessa permissão, portanto os usuários com essa permissão não podem excluir nem modificar os objetos que se encontra debaixo dessa permissão.
Agora vamos falar das permissões de segurança. As permissões de segurança são divididas em sete níveis de permissão, que são:
Controle total
Modificar
Ler e executar
Listar Conteudo de Pastas
Leitura
Gravar
Permissões Especiais
Igualmente a permissão de compartilhamento a permissão de segurança controle total, da total controle sobre os objetos que se encontro debaixo dessa permissão.
A permissão de modificar, da ao usuário a possibilidade de excluir, criar, editar e ler os objetos abaixo dessa permissão.
A permissão de ler e executar, garante ao usuário tanto a leitura com a execução de arquivos.
A permissão de listar conteudo garante ao usuário listar o conteudo contido dentro de uma pasta.
A permissão de leitura permite ao usuário apenas a leitura de arquivos, sem poder executar caso o arquivo seja um?
.exe por exemplo.
A permissão grava, permite ao usuário ler e salvar as mudanças feitas no arquivo, mais não permite o usuário excluí-lo.
A permissão especial, são algumas personalizações que podemos fazer com as permissões.
Agora que temos os conceitos tanto de permissão de compartilhamento como a permissão de segurança, vamos entender como funciona essas permissões quando aplicada em conjunto.
Antes vale ressaltar que temos dois tipos de opções dentro das permissões, permitir e negar.
Como os próprios nomes dizem, uma serve para conceder a permissão e a outra negar.
Uma observação importante e que a opção negar sempre terá procedência sobre permitir, ou seja, se um usuário faz parte de dois grupos de segurança distintos, em um grupo ele te a opção permitir e no outro negar, a permissão efetiva será negar, pois como mencionei acima a opção negar tem procedência sobre permitir.
Quando temos duas opções permitir, tanto na permissão de compartilhamento com na de segurança, o que vale e a mais restritiva das duas, por exemplo, temos um usuário com a permissão de leitura a nível de compartilhamento e a permissão de controle total na permissão de segurança, a permissão do usuário será de somente leitura, pois o que vale e a mais restritiva das duas que nesse caso e a de leitura.
Temos também o caso de quando o usuário pertence a mais do que um grupo, por exemplo:
Temos uma pasta chamada financeiro, temos um grupo de segurança chamado finanças, dentro desse grupo temos o usuário Jose, a permissão efetiva desse grupo sobre a pasta e somente leitura. Temos outro grupo chamado ger-financas, o usuário Jose também faz parte desse grupo, a permissão efetiva desse grupo na pasta finanças e de controle total, qual a permissão efetiva do usuário Jose, já que ele pertence aos dois grupos?
Nesse caso a regra que vale e a de associar as permissões, nesse caso leitura+controle total=controle total.
Uma coisa que devemos nos atentar ao dar permissões para os grupos e verificar os membros do grupo, se o usuário pertence a mais de um grupo. Temos que nos atentar também com o grupo todos e o grupo usuários autenticados.
O grupo todos como o próprio nome diz significa todos os usuários isso significa que todos serão impactados se dermos uma permissão para o grupo todos.
O grupo usuários autenticados e o grupo que contem todos os usuários autenticados no domínio, ou seja, todos os usuários que se autenticam no domínio fazem parte desse grupo.
Um exemplo de como devemos ter cuidado com esses grupos, vamos supor que temos uma pasta chamada diretoria, essa pasta contem arquivos confidenciais que somente os diretores da empresa podem ter acesso, então o administrador de redes decide colocar o grupo todos com a permissão de negar na pasta em questão, com essa ação nem os diretores terão acesso a pasta, pois o grupo todos significa todos sem exceção, mesmo que o grupo diretores tenha permissão de controle total sobre a pasta, ele não terá acesso, pois lembre-se negar tem procedência sobre permitir. O mesmo vale para o grupo usuários autenticado.
Então lembre-se sempre das regrinhas:
Permissão de compartilhamento + Permissão de segurança = Vale a mais restritiva
Usuário pertence a dois grupos diferentes = Associa as permissões
NEGAR SEMPRE TERÁ PROCEDENCIA A OPÇÃO PERMITIR.
Para maiores informações acessar o seguinte link:
http://consultormcse.wordpress.com/2010/06/01/permissoes-em-pastas-e-arquivos/
Esse artigo foi escrito por:
Diogo Molina de Sá - MCSE, MCITP