Разрешения для файлов и папок

Устанавливая пользователям определенные разрешения для файлов и папок, администраторы системы могут защищать конфиденциальную информацию от несанкционированного доступа. Каждый пользователь должен иметь специфичный набор прав на доступ к определенному объекту файловой системы. Он может также стать владельцем файла или папки, создав их самостоятельно. Администратор может стать владельцем любого объекта файловой системы. Однако стоит помнить, что передача прав владения от администратора к пользователю напрямую невозможна. Администратор должен войти в систему под учетной записью нужного пользователя, чтобы передать ему права владения.

Права пользователя на доступ к объектам файловой системы действуют по принципу дополнения. Это означает, что актуальные права, которыми обладает пользователь в отношении определенного объекта, формируются из всех прямых и косвенных разрешений с использованием логической функции "ИЛИ". Например, если у пользователя есть прямое разрешение на чтение каталога и косвенное разрешение на запись через группу, он сможет читать и записывать данные. Однако, если пользователю предоставлено конкретное разрешение, а группе, к которой он принадлежит, это разрешение отказано, то отказ будет иметь приоритет. Введение возможности отказа в разрешении облегчило управление правами доступа, делая ненужным разрешение "No Access", которое использовалось в Windows NT 4.0. Теперь, чтобы отказать пользователю в доступе к файлу или папке, достаточно включить его в группу, которой отказано в разрешении "Полный доступ".