Как спрятать папку в Windows
Проблема в защите информации от посторонних глаз очень актуальная если доступ к вашему компьютеру имеют родственники, коллеги или друзья. У вас наверняка есть файлы не предназначенные для публичного просмотра. В этой статье речь пойдёт о том как скрыть и защитить такую информацию.
Способы, которые я покажу, не скроют папку от продвинутого пользователя ПК, но от неопытных защита будет надёжной. Эффективную защиту может обеспечить шифрование. Как его сделать написано в конце данной инструкции.
В дополнении ко всем методам я рекомендую хранить папку глубоко в каталогах компьютера с неприметным названием.
Хочу заметить, что существуют более эффективные методы защиты данных. Например, создать архив и установить пароль. Всё же просто скрыть тоже один из методов. Примеры использования будут проходить в системе Windows 7.
Скрыть в настройках Windows
Самый простой способ — это отключить показ скрытых папок. Любой кто знаком с данной настройкой легко сможет обнаружить скрытую папку.
Для этого перейдите в меню Пуск >> Панель управления (сделайте вид крупными значками) >> Параметры папок.
Затем войдите во вкладку «Вид» и поставьте галочку в «Не показывать скрытые файлы, папки и диски» как на изображении ниже.
Здесь отметьте «Скрытый» атрибут и сохраните результат.
Это скроет папку. Чтобы её увидеть, понадобится снова включить отображение скрытых элементов.
В этом видео показан ещё 1 способ с применением num цифр на клавиатуре (могут отсутствовать), который позволит сделать имя и значок невидимыми на рабочем столе. Отлично подойдёт для использования с остальными методами.
Изменение внешнего вида
Вся суть заключается в изменение имени и значка. Покажу на примере своей. Вот так выглядит моя скрытая папка.
Чтобы её сделать зайдите в свойства.
Выберите вкладку «Настройка» и в ней найдите кнопку «Сменить значок» как на изображении ниже.
Внешне никто не догадается, что у вас там хранятся какие-то файлы. Можно эффективно комбинировать с двумя другими.
Продвинутый способ
В этом способе нужно запаковать папку и картинку в архив. Изменить программу для открытия по умолчанию и поменять значок. При двойном щелчке будет открываться изображение, а при открытии с помощью архиватора откроется спрятанная папка.
Перед этим следует подготовиться. В параметрах папок сделайте невидимым расширения если их видно.
Затем переименуйте его под название изображения и зайдите в свойства. Здесь нужно будет изменить приложение с помощью которого будет открываться архив.
Выберите приложение, которым вы обычно открываете изображения.
Половина дела сделано, но значок выглядит неестественно. Нужно это исправить. Скачайте утилиту для изменения значков и запустите. Она не требует установки. Перейдите в расширение файлов.
Войдите в категорию иконок.
Здесь в поиске введите расширение вашего архива. У меня ZIP.
Теперь выберите иконку, которая отображается у остальных изображений.
Должно получиться примерно как у меня. Теперь, чтобы попасть в скрытую папку, выберите в контекстном меню >> открыть с помощью >> проводник Windows (или архиватором). При простом открытии будет показываться картинка.
Но к сожалению есть 2 недостатка:
- Иконка и программа для открытия меняется у всех архивов с определенным расширением.
- Тип файла не скрывается в свойствах.
Если вам не будут мешать эти недостатки, то смело пользуйтесь.
Программа Запретный файл
Эта программа не скрывает, а шифрует папку тем самым обеспечивает надёжную защиту информации. Очень удобно и можно использовать в связке с другими способами. Главное не забыть пароль для расшифровки.
Получить доступ можно будет только с помощью пароля и этой программы. Если вы его забудете, то навсегда потеряете файлы.
Я покажу пример использования на своей папке (sitemozg). Скачайте её и распакуйте архив. Запустите исходник. Перед вами появится окно, в котором нужно указать путь к папке.
Укажите путь.
Так как программа не требует установки то, её можно хранить на флешке.
Ко всем файлам хранящимся в этой папке добавится расширение .ciphered.
Процесс открытия так же прост. Запустите программу и во вкладке «Расшифровка» укажите путь до папки, а затем введите пароль. Нажмите «Расшифровать» как на изображении ниже.
Затем зайдите в неё и вы увидите, что расширение (.ciphered) пропало и можно спокойно работать с файлами. Не забудьте снова зашифровать когда закончите работу.
Каким способом вы воспользовались?
- Просто запретил отображение скрытых папок. 0%, 00 0 – 0% из всех
- Изменил внешний вид. 0%, 00 0 – 0% из всех
- Сделал невидимой на рабочем столе (как в видео). 0%, 00 0 – 0% из всех
- Воспользовался продвинутым способом. 0%, 00 0 – 0% из всех
- Зашифровал программой. 0%, 00 0 – 0% из всех
Access-Based Enumeration in Windows 10 / 8.1 / 7
Many users, especially in home or SOHO networks, also would like to use Access-Based Enumeration features. The problem is that Microsoft client OSs have neither graphical, nor command interface to manage Access-Based Enumeration.
In Windows 10 (Server 2016) and Windows 8.1 (Server 2012R2), you can use PowerShell to manage Access-based Enumeration (see the section above). In older versions of Windows, you need to install the latest version of PowerShell (>= 5.0) or use the abecmd.exe utility from the Windows Server 2003 package, it works fine on client OSs. Since the Windows Server 2003 Access-based Enumeration package is not installed on Windows 10, 8.1 or 7, you have to install it first on Windows Server 2003, and then copy it from the C:\windows\system32 directory to the same folder on the client. After that, you can enable ABE according with the commands described above.
Note. In corporate environment, ABE combines perfectly with DFS folders by hiding folders from the user and providing a more convenient structure of the public folders tree. You can enable ABE in DFS using DFS Management or dfsutil.exe:
In addition, you can enable ABE on computers in the AD domain using GPO. This can be done using GPP in the section: Computer Configuration -> Preferences -> Windows Settings -> Network Shares).
In the properties of the network folder there is an Access-Based Enumeration option, if you change the value to Enable, ABE mode will be enabled for all shared folders created using this GPO.
Управление видимостью папки с помощью командной строки
Откройте окно командной строки на сервере, на котором установлена служба роли Распределенная файловая система или средства распределенная файловая система .
Введите следующую команду, где дфспас — путь к папке DFS (Link), является именем группы или учетной записи пользователя, а (. ) заменяется дополнительными записями управления доступом (ACE):
Например, чтобы заменить существующие разрешения на разрешения, которые позволяют группам «Администраторы домена» и » \ преподаватели Contoso» читать (R) доступ к \ папке contoso. оффице\публик\траининг, введите следующую команду:
Для выполнения дополнительных задач в командной строке используйте следующие команды:
Источник
Как отключить/включить административные шары
Административные шары Windows удобны для удаленного администрирования компьютера, но несут дополнительные риски безопасности (Как минимум не стоит использовать одинаковый пароль локального администратора на всех компьютерах. Чтобы сделать пароли уникальными, используйте LAPS). Вы можете полностью запретить Windows создавать эти скрытые ресурсы.
Самый простой способ – щелкнуть правой кнопкой мыши по имени административного ресурса в оснастке управления компьютером и выбрать Stop sharing (или использовать команду ). Однако после перезагрузки Windows она пересоздастся автоматически.
Чтобы запретить Windows публиковать административные шары, нужно открыть редактор реестра regedit.exe, перейти в ветку реестра HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters и добавить Dword параметр с именем AutoShareWks (для десктопных версий Windows) или AutoShareServer (для Windows Server) и значением .
Можно создать это параметр реестра вручную, из командной строки reg add или через PowerShell:
или
Можно распространить этот параметр реестра на компьютеры домена через GPO.
Теперь после перезагрузки административные шары не будут создаваться. При этом перестанут работать утилиты удаленного управления компьютером, в том числе psexec.
Если вы хотите включить админские шары, нужно изменить значение параметра на 1 или удалить его.
Чтобы Windows пересоздала административные шары, достаточно перезапустить службу Server командой:
Включение перечисления на основе доступа с помощью командной строки
Откройте окно командной строки на сервере, где установлена служба роли Распределенная файловая система или компонент Средства распределенной файловой системы.
Введите следующую команду, где является корнем пространства имен:
Для управления перечислением на основе доступа для пространства имен с помощью Windows PowerShell используйте командлеты Set-DfsnRoot, Grant-DfsnAccess и Revoke-DfsnAccess. Модуль DFSN Windows PowerShell был введен в Windows Server 2012.
Управлять тем, какие пользователи и группы могут просматривать отдельные папки DFS, можно с помощью интерфейса Windows или с помощью командной строки.
Managing Access Based Enumeration Using PowerShell
You can use the SMBShare PowerShell module (installed by default in Windows 10/ 8.1 and Windows Server 2016/2012 R2) to manage the settings of Access Based Enumeration for specific folders. Let’s list the properties of a specific shared folder:
Note the value of the FolderEnumerationMode attribute. In our case, its value is Unrestricted. This means that ABE is disabled for this folder.
You can check the status of ABE for all shared folders of the server:
To enable ABE for a specific folder:
You can enable Access Based Enumeration for all published network folders (including administrative shares ADMIN$, C$, E$, IPC$,…) by running the command:
To disable ABE use the command:
Страницы
Что такое Access-based Enumeration (ABE)
Мне часто приходится слышать вполне логичный вопрос от своих слушателей: «Почему Windows показывает пользователям ВСЕ файлы из общих папок, несмотря на то, что к большей их части у пользователя все равно нет доступа?»
Ответ на вопрос и способ решения проблемы описаны в этой статье. В процессе написания и тестирования открыл для себя много интересного.
Теория
Встроенный в Windows механизм отображения общих папок уходит своими корнями в дремучие времена клиентов DOS и сервера Microsoft LAN Manager. В то время и количество сетевых ресурсов было небольшим, и вычислительные возможности систем ограничены. Поэтому алгоритмы предоставления информации о сетевых ресурсах были предельно простыми и, по большому счету, они не изменились до сегодняшнего дня.
Упрощенно, последовательность обращения к файлу в «шареной папке» выглядит так:
- клиент, обращаясь к серверу LAN Manager (сервис LanmanServer в современных Windows), получает список всех общих папок, находящихся на нем;
- пользователь выбирает название общей папки и пытается к ней подключиться;
- сервер проверяет, есть ли у пользователя разрешение на выбранную общую папку и, при наличии разрешения, высылает клиенту список всех файлов и папок в ней находящихся;
- пользователь выбирает интересующий его файл и пытается его открыть;
- сервер проверяет, есть ли у пользователя права доступа к выбранному файлу и, если они есть, высылает пользователю сам файл.
Исходя из указанной выше последовательности видно, что сервер проверяет клиентские права доступа на файлы и папки уже ПОСЛЕ того, как пользователь получает список доступных ресурсов и выбирает один из них.
Функционал Access-based Enumeration (ABE) позволяет решить проблему избыточного отображения файлов и папок на сетевых ресурсах, к которым у конечного пользователя все равно нет доступа.
После активации ABE сервер начинает проверять права пользователя на ресурсы ДО ТОГО, как высылает клиенту список имеющихся в общей папке ресурсов. Соответственно, в список попадают только те файлы и папки, которые пользователь может открыть, и ничего лишнего пользователь больше не видит.
Пример того, как общая папка Docs с включенной опцией ABE выглядит со стороны клиента .
. а вот, что на самом деле лежит в папке Docs (после отключения ABE):
Разница существенная .
Практика
В русскоязычном интерфейсе Windows термин Access-based Enumeration (ABE) переводится как «Перечисление на основе доступа«.
Опция ABE доступна для настроек общих папок, начиная с Windows Vista. Windows XP функционал ABE не поддерживает. ABE может также применяться и для пространства имен DFS (Distributed File System). Детали ниже.
ABE и Windows Server 2003 / R2
В Windows Server 2003 функционал Access-based Enumeration появился вместе с Service Pack 1. Средства настройки ABE, тем не менее, в Service Pack не встроены. Скачать их можно тут.
В процессе установки средств управления ABE мастер предлагает включить ABE на все имеющиеся папки или включить ABE в индивидуальном режиме позже.
После установки пакета в свойствах всех папок на Windows Server 2003 появляется вкладка Access-based Enumeration. На ней можно включить/отключить ABE индивидуально для каждой общей папки или для всех имеющихся папок сразу.
Обратите внимание, что для всех созданных после установки ABE общих папок функция ABE будет ОТКЛЮЧЕНА и на новых папках ее нужно активировать принудительно
Использование ABE в Windows Server 2008 / 2008 R2
В Windows Server 2008/R2 для использования функционала Access Based Enumeration никаких дополнительных компонентов устанавливать не нужно, т.к. возможность управления функционалом ABE уже встроена в графический интерфейс Windows. Чтобы включить Access-based Enumeration для конкретной папки в Windows Server 2008/2008 R2, откройте mmc консоль управления Share and Storage Management (Start –> Programs –> Administrative Tools ->Share and Storage Management). Перейдите в окно свойств нужной шары. Затем перейдите в окно расширенных настроек (кнопка Advanced) и включите опцию Enable access-based enumeration.
Управление Access Based Enumeration с помощью PowerShell
Для управления настройками Access Based Enumeration для конкретных папок можно использовать PowerShell модуль SMBShare (установлен по-умолчанию в Windows 10/8.1 и Windows Server 2016/ 2012 R2). Выведем свойства конкретной сетевой папки:
Обратите внимание на значение атрибута FolderEnumerationMode. В нашем случае его значение – Unrestricted
Это означает, что ABE отключен для этой папки.
Можно проверить статус ABE для всех сетевых папок сервера:
Get-SmbShare | Select-Object Name,FolderEnumerationMode
Чтобы включить ABE для папки, выполните:
Get-SmbShare Install | Set-SmbShare -FolderEnumerationMode AccessBased
Вы можете включить Access Based Enumeration для всех опубликованных сетевых папок (в том числе административных шар ADMIN$, C$, E$, IPC$), выполните:
Get-SmbShare Install | Set-SmbShare -FolderEnumerationMode AccessBased
Чтобы отключить ABE, выполните:
Get-SmbShare Install | Set-SmbShare -FolderEnumerationMode Unrestricted
Managing Access Based Enumeration Using PowerShell
You can use the SMBShare PowerShell module (installed by default in Windows 10/ 8.1 and Windows Server 2016/2012 R2) to manage the settings of Access Based Enumeration for specific folders. Let’s list the properties of a specific shared folder:
Note the value of the FolderEnumerationMode attribute. In our case, its value is Unrestricted. This means that ABE is disabled for this folder.
You can check the status of ABE for all shared folders of the server:
To enable ABE for a specific folder:
You can enable Access Based Enumeration for all published network folders (including administrative shares ADMIN$, C$, E$, IPC$,…) by running the command:
To disable ABE use the command:
Использование network-level authentication
До появления Windows 2008/2008 R2, для аутентификации в службе терминалов пользователи должны были использовать Remote Desktop Client для установки связи с терминальным сервером. После чего у пользователя появлялась возможность ввода учетных данных в окно входа. Такой подход к аутентификации пользователя выглядит довольно простым, в то же время с точки зрения безопасности является существенным риском.
Простота, с которой устанавливается терминальная сессия, позволяет получить определенную информацию о сети, например имя внутреннего домена, название конечного сервера. Полученная информация может помочь злоумышленнику осуществить DDOS атаку на терминальный сервер даже если атакующий не имеет в своем распоряжении данных для аутентификации.
Начиная с Windows 2008, Microsoft вводит дополнительный уровень защиты — network-level authentication. Этот уровень предполагает, что пользователь представляет определенный набор данных до установки сеанса подключения, что делает процесс аутентификации более безопасным.
Для использования network-level authentication необходимо выполнение ряда условий. Терминальный сервер должен работать под управлением операционной системы Windows 2008/2008 R2, а клиентские компьютеры должны работать на ОС Windows XP Service Pack 3 или выше, Windows Vista или Windows 7. Для Windows XP может потребоваться редактирование реестра:
1. Кликните «Пуск», «Выполнить», введите в строку «regedit» (без кавычек) и нажмите «Ok»
2. В левой навигационной панеле откройте ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
3. В правой панеле найдите параметр «Security Packages», нажмите на нём правой кнопкой мыши и выберите «изменить»
4. В поле «значение» допишите внизу строчку «tspkg» (без кавычек). Не удаляйте имеющиеся значения. Нажмите «Ok»
5. В левой навигационной панеле откройте ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders
6. В правой панеле найдите параметр «SecurityProviders», нажмите на нём правой кнопкой мыши и выберите «изменить»
7. В поле «значение» допишите через запятую строчку «credssp.dll» (без кавычек). Не удаляйте имеющиеся значения. Нажмите «Ok» 8. Перезагрузите компьютер
Еще одним условием является использование Remote Desktop клиента версии 6 или выше.
Существует несколько способов конфигурации терминального сервера на требование использовать network-level authentication. Вы можете включить Network Level Authentication в процессе установки роли Terminal Services, или после ее завершения, используя консоль Terminal Services Configuration. Щелкнув правой кнопкой мыши на подключении, используемом вашими клиентами. В меню выбрать Properties и опцию «Allow connections only from computers running Remote Desktop with Network Level Authentication».
Однако, наилучший способ включить network-level authentication, это использовать групповую политику. Запустите редактор групповой политики, выберите нужную политику. Откройте раздел Computer Configuration | Administrative Templates | Windows Components | Terminal Services | Terminal Server | Security и включите параметр Require user authentication for remote connections by using Network Level Authentication.
Скрываем папки недоступные пользователю с помощью Access-Based Enumeration (ABE) в Windows Server
Технология Access-based Enumeration (ABE — Перечисление на основании доступа) позволяет на общих сетевых ресурсах (шарах) скрыть от пользователей файлы и папки, к которым у них отсутствует права доступа на чтение на уровне NTFS. Тем самым можно обеспечить дополнительную конфиденциальность данных, хранящихся в сетевом каталоге (за счет скрытия структуры и имен каталогов и файлов), улучшить юзабилити для пользователя, которому в процессе работы с сетевым каталогом не будет отображаться лишняя информация (тем более доступ к которой у него все равно отсутствует) и, самое главное, оградим системного администратора от постоянных вопросов пользователей «почему меня не пускает в эту папку!!». Попробуем детальнее разобраться в этой технологии и особенностях ее настройки и использования в различных версиях Windows.
Access Based Enumeration on Server 2016
By default, the process of accessing the network folder performed as follows:
- The user connects to the server and requests access to the shared folder;
- LanmanServer service on the server (responsible for sharing files and folders) checks if the user has NTFS permissions to read/list the folder content. If the access is available, the service returns a list of all files and folders contained in it;
- Next user selects a file or folder and tries to open it;
- The server checks if the user has the necessary access rights. If a user has the necessary permissions, it returns the desired item. If the user has no rights — access denied error returns.
According to this algorithm, the server first returns a list of all the folder contents to the user. The server checks access rights to individual files and folder only when the user tries accessing them.
Then using ABE, the user will be shown only the resources for which he has the necessary rights. List contents for folders, or Read for individual files.
Some ABE features:
- ABE controls only the list of the contents in a shared folder. It does not hide the list of shared folders from the users. Therefore, when a user connects to the server, he will see all shared folders. If you need to create a hidden share, you can simply add the character $ to its name, for example, ShareName$;
- ABE doesn’t work when the user logged locally or when connecting via RDP;
- Members of the local Administrators group always see the full list of the folder contents.
ABE is enabled for each folder individually. To configure ABE, open Server Manager console, and select role File and Storage Services.
Then, go to the Shares section and choose a network folder from the list for which to enable the ABE. Right-click on it, and select its Properties.
Then in the properties of the share switch to the Settings tab. Put the check box on Enable access-based enumeration option.
Also, you can enable the access-based enumeration on a network share using PowerShell cmdlet Set-SmbShare. Use a simple command:
Set-SmbShare -Name "Share" -FolderEnumerationMode AccessBased
If you manage public folders settings centrally through Group Policy (Computer Configuration > Preferences > Windows Settings > Network Shares), you can enable the ABE in the share properties.
For example, here is a content of a network folder with the enabled ABE for the server administrator:
And this is how it looks for the average user:
Thus, ABE technology makes life easier for both Users and Administrators. The redundant information in the network folders is not displayed for User. The administrator no longer has to answer questions about the lack of access.
However, the Access Based Enumeration has a serious minus — an additional server load. The load depends on the number of users per server and the number of objects in the shares. During heavy load, the speed of opening the folder may significantly decrease.
Последнее слово по теме
ABE — это хорошо, особенно если ваша компания хранит конфиденциальную деловую информацию на файловых серверах в вашей сети. Помните, что злонамеренный (или просто любопытный) пользователь иногда может многое узнать о вашем бизнесе, просто просматривая имена документов, хранящихся в общих папках на ваших файловых серверах. Что бы сделал сотрудник, если бы нашел документ под названием «Наш генеральный директор уйдет на пенсию завтра.doc»? Вероятно, быстро продайте его акции и расскажите об этом его друзьям, и вскоре ваша компания заставит Комиссию по ценным бумагам и биржам или какое-либо другое регулирующее агентство дышать вам в затылок за инсайдерскую торговлю!
Настройка неавторизованного доступа
SMB поддерживает гостевые входы, что означает, что пользователи могут получить доступ к ресурсу SMB без необходимости указывать имя пользователя или пароль.
Этот тип доступа удобен, так как его легко настроить, легко получить и не требует, чтобы какие-либо пользователи настраивались в системе FreeNAS. Этот тип конфигурации также наименее безопасен, так как любой пользователь сети может получить доступ к содержимому общего ресурса.
Кроме того, поскольку весь доступ является гостевым пользователем, даже если пользователь вводит имя пользователя или пароль, невозможно отличить пользователей от доступа или изменения данных на общем ресурсе. Этот тип конфигурации лучше всего подходит для небольших сетей, где быстрый и легкий доступ к ресурсу более важен, чем безопасность данных на общем ресурсе.
Чтобы настроить общий ресурс без проверки подлинности, нажмите Wizard (Мастер), затем дважды нажмите кнопку «Далее», чтобы отобразить экран.
Создание не прошедшей проверку подлинности SMB ресурсов в FreeNAS
Заполните следующие поля на этом экране:
- Имя ресурса (Share name): введите имя для общего ресурса. В этом примере ресурс называется smb_insecure.
- Нажмите кнопку для Windows (SMB) и включите параметр Allow Guest.
- Нажмите кнопку Ownership. Откройте раскрывающееся меню User и выберите nobody. Нажмите кнопку Return (Возврат), чтобы вернуться к предыдущему экрану.
- Нажмите кнопку «Добавить». Если этот шаг будет забыт, этот ресурс не будет создан. Нажатие кнопки «Добавить» добавляет запись в кадр «Имя» с именем, которое было введено в Share name.
Дважды нажмите кнопку «Далее», затем кнопку «Подтвердить», чтобы создать общий ресурс. Мастер автоматически создает набор данных для общего ресурса и запускает службу SMB, чтобы доступ к ней был немедленно доступен. Новая доля появится в разделе Sharing ‣ Windows (SMB).
Теперь пользователи могут получить доступ к ресурсу от любого клиента SMB и не будут запрашивать их имя пользователя или пароль. Например, чтобы получить доступ к ресурсу из системы Windows, откройте «Проводник» и нажмите «Сеть». В этом примере конфигурации появляется система с именем FREENAS с долей с именем insecure_smb. Пользователь может копировать данные в и из не прошедшей проверку подлинности SMB-ресурса.
How to Enable Access-Based Enumeration (ABE) on Windows Server?
Access-based Enumeration (ABE) allows to hide objects (files and folders) from users who don’t have NTFS permissions (Read or List) on a network shared folder in order to access them. Thus you can provide additional confidentiality of data stored in a shared folder (due to hiding the structure and names of folders and files), improve its usability since users won’t see odd data (they don’t have access to) and, what’s more important, save a system administrator from constant questions of users “Why I cannot access this folder. ”. Let’s try to consider this technology, configuration peculiarities and use of ABE in various Windows versions in details.
Пример 2. Предоставление персонального доступа пользователям к своим подпапкам в папке.
Данная ситуация тоже распространена на практике. Например, у вас есть папка для новых сканированных документов. В этой папке для каждого пользователя создана своя отдельная подпапка. После сканирования документ забирается пользователем из свой подпапки. Задача назначить права так, чтобы каждый пользователь видел содержимое только своей подпапки и не мог получить доступ в подпапку коллеги.
Для данного примера я немного перефразирую задание. Предположим у нас есть общая папка «ФОТО», в которой для каждого пользователя есть подпапка. Необходимо настроить права так, чтобы пользователь имел в своей подпапке все права, а подпапки других пользователей были бы ему недоступны.
Для такой настройки я полностью повторяю все действия из первого примера. В результате повторения у меня получаются права для всей группы «Коллегам для чтения» на чтение ко всем подпапкам. Но моя задача сделать видимой пользователю только «свою» подпапку. Поэтому, в окне базовых прав я нажимаю кнопку «Дополнительно»
и перехожу в окно особых прав, в котором выделяю группу «Коллегам для чтения» и нажимаю кнопку «Изменить»
В открывшемся окне я меняю правила наследования, вместо значения «Для этой папки, ее подпапок и файлов» в поле «Применять:» я выбираю значение «Только для этой папки».
Это самый ключевой момент этого примера. Значение «Только для этой папки» приводит к тому, что права чтения для группы «Коллегам для чтения» распространяются только на корень папки «ФОТО», но не на подпапки. Таким образом, каждый пользователь сможет добраться к своей папке, но заглянуть в соседнюю не сможет, права на просмотр подпапок у него нет. Если же не дать такое право группе совсем, то пользователи вообще не смогут попасть в свои подпапки. Файловая система не пропустит их даже в папку «ФОТО».
В итоге, пользователи смогут заходить в папку «ФОТО» но дальше в подпапки зайти не смогут!
В окне особых прав нажимаем «ОК» и выходим в предыдущее окно, теперь в столбце «Применять к» напротив группы «Коллегам для чтения» стоит значение «Только для этой папки».
Нажимаем во всех окнах «ОК» и выходим.
Все. Теперь остается настроить персональные права на каждую подпапку. Сделать это придется для каждой подпапки, права-то персональные для каждого пользователя.
Все нужные действия вы уже делали в первом примере, повторим пройденное
На подпапке «Пользователь1» нажимаю правой клавишей мышки, выбираю пункт меню «Свойства», перехожу на закладку «Безопасность». Нажимаю кнопку «Добавить»
и в стандартном окне выбора выбираю доменного пользователя с именем «Пользователь1».
Остается установить галочку для разрешающего права «Изменить». При этом галочка для разрешающего права «Запись» установится автоматически.
Нажимаем «ОК». Выходим. Остается повторить аналогичные действия для всех подпапок.