Permissões em pastas e arquivos – NTFS

 

Em se tratando do sistema de arquivos NTFS, contamos com o recurso de permissões em arquivos e pastas. Com isso, podemos definir quem pode acessar um arquivo ou pasta, contribuindo assim para uma maior segurança das informações.

 

Vejamos os tipos de permissões para arquivos e pastas:

• Permissões NTFS para pastas:
  • Read (Ler): lista as pastas e arquivos localizados dentro de uma pasta, visualiza as permissões, donos e atributos.
  • Write (Gravar): cria arquivos, subpastas, altera o atributo da pasta e visualiza o dono e as permissões.
  • List Folder Contents (Listar conteúdo de pastas): lista o conteúdo das pastas, visualiza o nome do arquivo e subpastas.
  • Read & Execute (Ler e Executar): equivale às permissões ler e listar conteúdo de pastas. Permite a um usuário navegar por pastas que não tenha permissão para alcançar um arquivo ou pasta que tenha permissão.
  • Modify (Modificar): equivale às permissões gravar e ler e executar. Consegue excluir uma pasta.
  • Full Control (Controle Total): equivale à soma de todas as outras permissões NTFS. Pode alterar as permissões da pasta, tornar-se dono da pasta e excluir pastas e arquivos.
• Permissões NTFS para arquivos:
  • Read (Ler): leitura de arquivo, visualização do dono do arquivo, atributos e permissões.
  • Write (Gravar): grava arquivos, altera atributos da pasta e visualiza o dono e as permissões da pasta.
  • Read & Execute (Ler e Executar): equivale à permissão leitura. Executa aplicativos.
  • Modify (Modificar): equivale às permissões gravar e executar. Modifica e exclui arquivos.
  • Full Control (Controle Total): equivale à soma de todas as outras permissões NTFS. Pode alterar as permissões de arquivos e tornar-se dono do arquivo.

 

Exemplo prático – Verificando as permissões NTFS atribuídas a um arquivo ou pasta.

• Clique com o botão direito sobre um arquivo ou uma pasta e selecione a opção Properties (Propriedades).
• Clique na aba Security (Segurança). Caso a aba Segurança não esteja disponível, execute os procedimentos abaixo:
  • Abra o Windows Explorer, clique em Tools (Ferramentas), Folder Options (Opções de Pasta), View (Modo de Exibição) e desmarque a opção Use simple file sharing (Usar compartilhamento simples de arquivo).

Algumas considerações sobre permissões NTFS

• Ao trabalharmos com o sistema de arquivos NTFS, todos os arquivos e pastas possuem uma Lista de Controle de Acesso (ACL). Nessa lista encontram-se todos os usuários e grupos que possuem permissão de acesso. Cada registro dentro da ACL corresponde a uma Entrada na Lista de Acesso (ACE).
• As permissões NTFS são cumulativas, ou seja, se um usuário possui permissão em um arquivo e esse mesmo usuário faz parte de um grupo que possui outra permissão no mesmo arquivo, a permissão efetiva do usuário será a soma dessas duas permissões.
• As permissões aplicadas nos arquivos têm maior prioridade sobre as permissões aplicadas nas pastas.
• Negar tem prioridade sobre todas as outras permissões, ou seja, se um usuário pertence a dois grupos e um dos grupos possui a permissão negar em uma pasta, independente da permissão que ele tiver no outro grupo, a permissão efetiva desse usuário na pasta será negar.
• Ao copiar um arquivo ou pasta para a mesma partição, as permissões serão herdadas da pasta pai de destino.
• Ao mover um arquivo ou pasta para a mesma partição, as permissões serão mantidas.
• Ao mover um arquivo ou pasta para outra partição, as permissões serão herdadas da pasta pai de destino.
• Existe o conceito de Herança de Permissões. Ou seja, ao criarmos uma pasta ou arquivo, as permissões serão herdadas da pasta pai. Isso evita que tenhamos que configurar as permissões todas as vezes que criamos uma pasta ou arquivo. Podemos quebrar essa herança caso necessário.

 

Exemplo prático – Quebrando a herança de permissões.

• Clique com o botão direito sobre uma pasta ou arquivo e selecione Properties (Propriedades).
• Clique na aba Security (Segurança).
• Clique em Advanced (Avançado).
• Desmarque a caixa Inherit from parent the permission entries that apply to child objects ... (Herdar do pai as entradas de permissão aplicáveis a objetos filho ...).
• Será exibida uma janela perguntando se você deseja Copiar (mantém as permissões herdadas da pasta pai), Remover (remove todas as permissões herdadas da pasta pai) ou Cancelar (anula a operação). Escolha a opção desejada e clique em OK.

 

Vamos analisar um exemplo, onde um usuário pertence a dois grupos e ambos os grupos possuem permissão em uma pasta:

 

 

 

No exemplo acima, a permissão efetiva o usuário João será Controle Total, pois o usuário é membro de dois grupos, os quais possuem a permissão Leitura e Controle Total. Lembramos que a permissão NTFS efetiva é igual a soma de todas as permissões, com a exceção da permissão Negar, que tem prioridade sobre todas as outras permissões. 

 

Exemplo prático – Atribuindo permissões NTFS para pastas e arquivos.

• Clique com o botão direito sobre uma pasta ou arquivo e selecione Properties (Propriedades).
• Clique na aba Security (Segurança).
• Clique em Add (Adicionar).
• Escolha os grupos e usuários desejados e clique em OK.
• Na caixa Permissions (Permissões), defina as permissões para cada grupo ou usuário adicionado.
• Após aplicar as permissões, clique em OK.

 

Vamos a um segundo exemplo, onde um usuário pertence a dois grupos e ambos os grupos possuem permissão em uma pasta, porém um dos grupos possui a permissão Negar:

 

 

No exemplo acima, a permissão efetiva o usuário João será Negar, pois o usuário é membro de um grupo que possui a permissão Negar. Lembre-se que a permissão Negar tem prioridade sobre todas as outras permissões.

 

Exemplo prático – Atribuindo a permissão Negar em uma pasta ou arquivo.

• Clique com o botão direito sobre uma pasta ou arquivo e selecione Properties (Propriedades).
• Clique na aba Security (Segurança).
• Na caixa Group or User names (Nomes de grupo ou de usuário), selecione um usuário ou grupo, clicando apenas uma vez sobre o objeto escolhido.
• Na caixa Permissions (Permissões), selecione Deny (Negar) sobre a permissão desejada e clique em OK.

 

Podemos ver o quanto é interessante o uso do sistema de arquivos NTFS.

 

Um último ponto importante a ser tratado sobre NTFS são as permissões especiais. Vejamos quais são essas permissões especiais:

• Transverse Folder/Execute File (Desviar pasta/Executar arquivo): a permissão desviar pasta permite a navegação através de pastas para acessar outros arquivos ou pastas, mesmo que o usuário não tenha permissão para as pastas desviadas. Aplica-se somente a pastas. A permissão executar arquivo permite ou nega a execução de arquivos de programa. Aplica-se somente a arquivos.
• List Folder/Read Data (Listar pasta/Ler dados): a permissão listar pasta permite ou nega a exibição de nomes de arquivos e subpastas dentro de uma pasta. Aplica-se somente a pastas. A permissão ler dados permite ou nega a exibição de dados em arquivos. Aplica-se somente a arquivos.
• Read Attributes (Atributos de leitura): permite ou nega a exibição de atributos de arquivos ou pastas.
• Read Extended Attributes (Ler atributos estendidos): permite ou nega a exibição de atributos estendidos de arquivos ou pastas.
• Create Files/Write Data (Criar arquivos/Gravar dados): a permissão criar arquivos permite ou nega a criação de arquivos dentro da pasta. Aplica-se somente a pastas. A permissão gravar dados permite ou nega alterações no arquivo e a substituição de um conteúdo existente. Aplica-se somente a arquivos.
• Create Folders/Append Data (Criar pastas/Acrescentar dados): a permissão criar pastas permite ou nega a criação de uma pasta dentro da pasta. Aplica-se somente a pastas. A permissão acrescentar dados permite ou nega as alterações no final no arquivo, mas não a alteração, exclusão ou substituição dos dados existentes. Aplica-se somente a arquivos.
• Write Attibutes (Atributos de gravação): permite ou nega a alteração de atributos de um arquivo ou pasta.
• Write Extended Attibutes (Gravar atributos estendidos): permite ou nega a alteração de atributos estendidos de um arquivo ou pasta.
• Delete Subfolders and Files (Excluir subpastas e arquivos): permite ou nega a exclusão de subpastas e arquivos, mesmo que a permissão excluir não tenha sido concedida na subpasta ou arquivo.
• Delete (Excluir): permite ou nega a exclusão do arquivo ou pasta. Se você não tiver a permissão excluir em um arquivo ou pasta, pode ainda excluí-los se tiver concedida a permissão excluir subpastas e arquivos na pasta pai.
• Read Permissions (Permissões de leitura): permite ou nega a leitura de permissões do arquivo ou pasta, como controle total, ler e gravar.
• Change Permissions (Alterar permissões): permite ou nega a alteração de permissões do arquivo ou pasta, como controle total, ler e gravar.
• Take Ownership (Apropriar-se): permite ou nega a apropriação do arquivo ou pasta. O proprietário de um arquivo ou pasta sempre pode alterar as permissões destes, independente de qualquer permissão existente que proteja o arquivo ou pasta.

Exemplo prático – Configurando as permissões especiais em uma pasta ou arquivo.

• Clique com o botão direito sobre uma pasta ou arquivo e selecione Properties (Propriedades).
• Clique na aba Security (Segurança).
• Clique na aba Advanced (Avançado).
• Na aba Permissions (Permissões) será exibida todas as permissões especiais configuradas.
• Clique duas vezes sobre a conta de usuário ou grupo desejado. Selecione Allow (Permitir) ou Deny (Negar) para as permissões desejadas e clique em OK.
• Clique em OK mais duas vezes.

 

Existe outro conceito importante quando trabalhamos com o sistema de arquivos NTFS. Esse recurso é o Take Ownership, ou Tornar-se dono. Esse recurso permite ao Administrador tornar-se dono de uma pasta ou arquivo, mesmo que não tenha permissão nessa pasta ou arquivo. É muito útil quando um usuário configurou a permissão em determinada pasta ou arquivo somente para ele mesmo, e esse usuário não trabalha mais na empresa. Como o usuário configurou as permissões de tal forma que somente ele possa acessar o arquivo ou pasta, ninguém conseguirá acessar esse arquivo ou pasta até que o Administrador tome as devidas providências, como por exemplo, executar o Take Ownership.

 

Exemplo prático – Tornar-se dono de uma pasta.

• Efetue logon com a conta de usuário Administrador.
• Localize a pasta ou arquivo que deseja tornar-se dono.
• Clique com o botão direito sobre a pasta ou arquivo e clique em Properties (Propriedades).
• Clique na aba Security (Segurança).
• Clique em Advanced (Avançado).
• Clique na aba Owner (Proprietário).
• Selecione a conta ou o grupo que deverá tornar-se dono do arquivo ou pasta.
• Marque a caixa Replace owner on subcontainers and object (Substituir o proprietário em sub-recipientes e objetos) e clique em OK duas vezes.

Conclusão

É isso pessoal, espero que este artigo seja útil para todos. Em caso de dúvidas sobre o conteúdo deste artigo, ou para enviar sugestões sobre novos tutoriais que você gostaria de ver publicado neste site, entre com contato através de e-mail Este endereço de e-mail está protegido contra SpamBots. Você precisa ter o JavaScript habilitado para vê-lo.