Права доступа на файловом сервере в доменной среде

Что такое права доступа к NTFS.

Права доступа — разрешение на выполнение операций с определённым объектом, например файлом. Права могут быть предоставлены владельцем или другим имеющим на это право пользователем. Как правило, это администраторы в системе. Если вы являетесь владельцем объекта, то можете предоставить права доступа к этому объекту любому пользователю или группе пользователей.

К каждому контейнеру и объекту в сети прилагается набор информации о контроле доступа к нему. Эта информация называемая дескриптором безопасности управляет типом доступа пользователям и группам. Права доступа, которые определены в дескрипторе безопасности объекта, связаны или назначаются конкретным пользователям и группам.

Права доступа к файлам и папкам определяют тип доступа, который предоставляется пользователю, группе или конкретному компьютеру на файл или папку. Например, можно позволить одному пользователю читать содержимое файла, другому вносить в него изменения, а всем остальным пользователям запретить доступ к файлу. Так же можно устанавливать права доступа к папкам.

Существует два уровня прав доступа:

  • Доступ к общей папке: даёт участникам, например определённым пользователям, доступ к общим ресурсам в сети. Права доступа к общим папкам действует только тогда, когда пользователь обращается к ресурсу по сети.
  • Доступ к файловой системе NTFS: даёт доступ к файлам или папкам при подключении по сети или во время входа в систему на локальном компьютере, где расположен ресурс. Доступ по NTFS для файла или папки предоставляется определённой группе или отдельным пользователям.

Существует два типа доступа по NTFS:

  • Стандартные права: наиболее часто используемым разрешением является стандартный доступ к файлам и папкам; к нему относятся основные права: чтение, запись, изменение и полный контроль.
  • Специальные права: особые права доступа, в которых предусмотрена большая точность управления доступом к файлам и папкам. Этот тип прав доступа более сложный в управлении, чем стандартный доступ. К ним относятся права на атрибуты чтения/записи, расширенные атрибуты, удаление вложенных папок и файлов, смена владельца и синхронизация.

Комбинирование NTFS и разрешение общего доступа.

Если общая папка создаётся на раздел, отформатированный для  файловой системы NTFS, разрешения для общей папки и разрешения для файловой системы NTFS объединяются. Разрешения файловой системы NTFS обычно используются для доступа к ресурсу локально или по сети, но общий доступ к папкам фильтруется.

При предоставлении разрешений для общей папки на томе NTFS применяются следующие правила:

  • По умолчанию, группе «все» предоставляется разрешение для чтения общей папки.
  • Пользователи должны иметь требуемые разрешения файловой системы NTFS для каждого файла и папки в общей папке. Кроме этого разрешение для доступа к соответствующей общей папке.
  • Если разрешения файловой системы NTFS и разрешения для общей папки объединяются, основным становиться разрешение с наиболее строгими правилами.
  • Разрешения на папку применяются к этой папке, ко всем файлам в этой папке, к вложенным папкам и всем файлам в этих подпапках.

В понимании того, что происходит, при объединении NTFS и разрешений общего доступа полезны следующие аналогии. Когда имеешь дело с общей папкой, для доступа к её файлам по сети, вы всегда должны открыть общую папку. Таким образом, в качестве фильтра, вы можете установить разрешения для общей папки, при которых пользователь может выполнять с её содержанием только те действия, которые возможны при разрешении общего доступа. То есть, все разрешения NTFS, которые являются менее строгими, чем разрешения для общего ресурса, будут отфильтровываться.

Например, если общее разрешение установлено только для чтения, вы можете файлы в общей папке только читать, даже если индивидуальное разрешение файловой системы NTFS — полный доступ. Если настроить разрешение «Изменять», вы сможете не только читать, но и изменять содержимое общей папки. Если установлено разрешение NTFS «Полный доступ», эффективен фильтр для разрешения общего ресурса с параметром «Изменять».

Просмотр карты сети.

Карта сети — инструмент, который графически отображает присутствующие в вашей сети компьютеры и другие сетевые устройства.

Получить доступ к полной карте можно при нажатии на ссылку «Просмотр полной карты». Так как все устройства могут не возвращать сведения о подключении, топология Карты может не отображать все устройства. Эти устройства отображаются в нижней части карты. Для получения более подробной информации от них, переключитесь на представление списком. По умолчанию параметр «Просмотр полной карты» доменов для конечных пользователей отключен. Но, он всегда доступен для сетевых администраторов.

Примечание: Карта сети — не просто топология. На ней отображены все активные сетевые устройства, которые можно настроить или устранить их неполадки.

Как установить права доступа 777 в контрольной панели сервера

Вы также можете реализовать аналогичную процедуру через визуальный интерфейс FTP клиента FileZilla или SFTP клиента WinSCP. Для этого необходимо будет выполнить авторизацию на вашем сервере в одной из этих программ, в визуальном интерфейсе выбрать ваш файл или папку, затем нажать правую клавишу мыши и установить галочки рядом с нужными правами.

Доброго здоровья, уважаемые читатели блога! Всем бы нам хотелось, чтобы каждый файл или папка, расположенные на сервере хостинга и принадлежащие сайту, были бы максимально защищены от несанкционированного доступа.

Такая защита обеспечивается за счет того, что 90% хостеров используют Unix-подобные операционные системы, в которых существует возможность регулировать права доступа ко всем файлам и каталогам. Сервер моего хостинг-провайдера Спринтхост, на котором расположено несколько моих проектов, не исключение.

Кстати, обязательно поинтересуйтесь, какой хостинг может называться самым лучшим, перейдя по предоставленной ссылке. Но продолжим. Правила, установленные в Unix, отличаются от привычного для многих регламента работы в операционной системе Windows, где защита в этом аспекте не так сильна, что иногда приводит к плачевным последствиям в виде заражения системы вирусами.

Особенности прав доступа к объекту

Мы уже прошлись по теме настройки прав доступа к папке/файлу. Напомню, что мы рассмотрели варианты настройки как через привычный интерфейс Windows, так и через интерфейс командной строки. Но одной лишь настройкой сыт не будешь, если не знать поведение прав доступа к объекту при копировании или перемещении объекта, если не знать про наследование и не знать как можно просмотреть уже назначенные разрешения.

Определение действующих прав доступа к объекту

На конечного пользователя могут одновременно действовать довольно много разрешений доступа. Кроме разрешений, которые непосредственно заданы для данного пользователя, есть еще и права доступа, которые заданы для группы пользователей, в которой он состоит. Вдобавок, стоит напомнить, что группы могут быть вложены друг в друга, а приоритет разрешений у более внутренней группы выше, чем у внешней группы. К тому же приоритет запретов выше, чем приоритет разрешений. Так как не запутаться среди стольких правил?

Выяснить конечные права доступа к объекту для какого-либо пользователя или группы поможет вкладка Безопасность в окне Свойства выбранного объекта. Для этого необходимо нажать кнопку Дополнительно и перейти во вкладку Действующие разрешения. После этого необходимо нажать кнопку Выбрать пользователя и указать пользователя или целую группу, для которой хотите получить результирующий список разрешений. Что Вы собственно и получите, если нажмете кнопку ОК.

Наследование прав доступа к объекту

Суть наследования проста: потомок папки получает наследство от своего предка. Другими словами, если внутри папки создается новая папка, то она получит все те права доступа, которые были у её предка.

Данную функцию можно либо включить, либо отключить. Для этого в окне Свойства папки необходимо перейти во вкладку Безопасность и нажать кнопку Дополнительно. Искомый пункт будет иметь название Добавить разрешения, наследуемые от родительских объектов или Включение наследования/Отключение наследования в зависимости от используемой операционной системы.

Права доступа к объекту при копировании или перемещении объекта

При копировании папки или файла его новоиспеченная копия получит только те права доступа, которые задаются вновь создаваемым папкам или файлам, а так же права доступа, которые она наследует по месту своего «рождения». Никаких прав доступа от оригинала она не получит.

При перемещении объекта роль играет то, куда происходит перемещение. Если объект перемещает внутри тома, то все права доступа сохраняются. Если же объект перемещают с одного тома на другой, то он получает права доступа целевого расположения, так же как и в случае с копированием.

Если же Вы хотите скопировать объект с сохранением всех его прав доступа, используйте утилиту командной строки Robocopy.

Как обойти права доступа к объекту?

Если Вы хотите обойти запрет, который выставлен Вам правами доступа к объекту, попробуйте несколько вариантов:

  1. Скопируйте объект и сохраните там, где у Вас имеется полный доступ.
  2. Переместите объект на другой том.
  3. Переместите или скопируйте объект на флешку или на локальный диск с файловой системой FAT/FAT32 и у Вас появится полный доступ к объекту. Объясняется это тем, что права доступа — привилегия файловой системы NTFS.

Но не стоит радоваться раньше времени. Если у администратора руки не кривые, то эти действия Вы вообще не сможете выполнить. Удачи Вам.

Общая информация о правах доступа в Linux

Режим доступа к файлу можно изменить с помощью команды chmod. Изменять права доступа к файлу позволено только его владельцу либо пользователю root. В UNIX-системах код задается в виде восьмеричного числа. Также поддерживается система мнемонических (буквенных) обозначений. Первый способ удобнее для системного администратора, но при этом можно задать только абсолютное значение режима доступа. А используя мнемонический синтаксис, вы можете сбрасывать и устанавливать отдельные параметры, к примеру, добавить право на чтение либо убрать право на запись.

Первым аргументом команды chmod является спецификация прав доступа, то есть восьмеричное число (774, 777 и т.д.) либо мнемоническое обозначение (r+o, w-u и т.д.). Второй и последующий аргументы — имена файлов, права доступа к которым подлежат изменению. При использовании восьмеричной нотации первая цифра относится к владельцу, вторая — к группе, а третья — к остальным пользователям.

Права доступа к файлам подразделяются на следующие:r — право на чтение данных.w — право на изменение содержимого (запись – только изменение содержимого, но не удаление).x — право на исполнение файла.

Теперь о правах доступа к папке (директории):r — право на чтение директории (можно прочитать содержимое директории, т.е. получить список объектов, находящихся в ней)w — право на изменение содержимого директории (можно создавать и удалять объекты в этой директории, причем если вы имеете право на запись, то удалять вы сможете даже те файлы, которые вам не принадлежат)x — право, которое позволяет вам войти в директорию (это право всегда проверяется в первую очередь, и даже если вы имеете все нужные права на объект, который закопан глубоко в цепочке директорий, но не имеете права “X” для доступа хотя бы к одной директории на пути к этому файлу, то к нему вы так и не пробьетесь)

В таблице указано восемь возможных комбинаций:

Восьмеричное число Двоичное число Режим доступа
000
1 001
2 010
3 011 -wx
4 100
5 101 r-x
6 110 rw-
7 111 rwx

Например, команда:

chmod 711 myfile

предоставляет владельцу все права, а всем остальным пользователям — только право выполнения, а команда:

chmod 775 myfile

предоставляет владельцу и группе все права, а остальным пользователям запрещает изменение файла. Для смены прав доступа необходимо находиться в директории, где расположен файл, либо указывать полный путь:

chmod 775 /var/www/myfile

Для применения прав доступа ко всем вложенным в директорию файлам и папкам (рекурсивно) необходимо в команду добавить ключ -R. То есть команда будет выглядеть как:

chmod -R 711 myfile

Примеры мнемонических спецификаций команды chmod:

Спецификация Значение
u+w Владельцу файла дополнительно дается право выполнения.
ug=rw,o=r Владельцу и группе предоставляется право чтения/записи, остальным пользователям — право чтения.
a-x Все пользователи лишаются права выполнения.
ug=srx,o= Владельцу и группе дается право чтения/выполнения, устанавливается также бит SUID; остальным пользователям запрещен доступ к файлу.
g=u Группе назначаются такие же права, что и владельцу

Символ u («user») обозначает владельца файла, символ g («group») — группу, символ о («others») — других пользователей, символ a («all») — всех пользователей сразу.
То есть, если необходимо убрать право на редактирование всех вложенных файлов и папок у других пользователей, то с помощью мнемонических обозначений команда будет выглядеть следующим образом:

chmod o-w -R myfile

В качестве примера мы будем устанавливать права доступа 777 для папки /var/www/mysite и всех вложенных в нее файлов и каталогов.ВНИМАНИЕ! Установка прав доступа 777 используется исключительно в качестве примера, их использование может привести к уязвимости сервера!

Коррективы через программу FileZilla

Если вы пользуетесь этой программой для перемещения файлов с локального сервера на хостинг или для сохранения резервных копий, то можете поменять права с ее помощью или благодаря программе Тотал коммандор. Метод у двух утилит одинаковый.

Для этого вам нужно будет установить соединение с хостингом, найти нужный материал и нажать по ней правой кнопкой компьютерной мыши.

Самая нижняя строка в выпадающих функциях вам и пригодится. Выберите эту фразу, щелкнув по ней.

Укажите полномочия в цифрах, которые желаете поставить и нажмите «ОК».

Вот и все, вам предложено два быстрых и результативных способа. Один из них осуществляется стандартно, а второй решает задачу через программу filezilla или total commander. А какой метод предпочитаете вы?

До новых встреч!

P/S

Также советую прочесть следующие статьи по данной теме:

1.Что такое структура веб сайта?

2.Что такое НЧ СЧ ВЧ запросы?

3.Как вставить картинку в html за минуту?

Разработанный ещё в 70-е годы прошлого века механизм распределения прав в операционных системах оказался настолько успешным, что используется в UNIX-системах до сих пор, то есть уже больше сорока лет.

Выбор языка сайта

Afrikaans Albanian Amharic Arabic Armenian Azerbaijani Basque Belarusian Bengali Bosnian Bulgarian Catalan Cebuano Chichewa Chinese (Simplified) Chinese (Traditional) Corsican Croatian Czech Danish Dutch English Esperanto Estonian Filipino Finnish French Frisian Galician Georgian German Greek Gujarati Haitian Creole Hausa Hawaiian Hebrew Hindi Hmong Hungarian Icelandic Igbo Indonesian Irish Italian Japanese Javanese Kannada Kazakh Khmer Korean Kurdish (Kurmanji) Kyrgyz Lao Latin Latvian Lithuanian Luxembourgish Macedonian Malagasy Malay Malayalam Maltese Maori Marathi Mongolian Myanmar (Burmese) Nepali Norwegian Pashto Persian Polish Portuguese Punjabi Romanian Russian Samoan Scottish Gaelic Serbian Sesotho Shona Sindhi Sinhala Slovak Slovenian Somali Spanish Sudanese Swahili Swedish Tajik Tamil Thai Turkish Ukrainian Urdu Uzbek Vietnamese Welsh Xhosa Yiddish

Способ 2. Использование утилит командной строки takeown и icacls

Примечание. Этот способ можно применить только для получения доступа к файлам или папкам, но не к разделам реестра.

Использование утилиты командной строки takeown для изменения владельца объектов

  1. Откройте командную строку (cmd) от имени администратораПримечание. Запуск от имени администратора в данном случае обязателен независимо от того, какими правами обладает учетная запись, в которой вы работаете в данный момент. Исключение может составлять только случай, когда вы работаете во встроенной учетной записи Администратор, которая по умолчанию отключена.
  2. Для назначения текущего пользователя владельцем файла выполните команду takeown /f «». Пример:
  3. Для назначения текущего пользователя владельцем папки и всего ее содержимого выполните команду takeown /f «» /r /d y. Пример: Параметры, используемые в команде:
    • /f — шаблон для имени файла или папки, поддерживает подстановочные символы, например takeown /f %windir%\*.txt
    • /r — рекурсия: обрабатываются все файлы и подкаталоги в указанной папке
    • /d — применяется совместно с /r для подавления запроса получения доступа к каждому файлу или подкаталогу
    • y — применяется совместно с /d для подтверждения смены владельца каждого файла или подкаталога
  4. Для назначения группы Администраторы владельцем файла или папки используются такие же команды, но с параметром /a. Примеры:

    Полный синтаксис утилиты командной строки takeown вы можете получить командой takeown /?

Использование утилиты командной строки icacls для изменения разрешений объектов

  1. Для изменения разрешений файла используется команда icacls /grant :F /c /l. Пример: Параметры, используемые в команде:
    • /grant — предоставление указанных разрешений
    • :F — предоставление полного доступа указанной учетной записи или группе
    • /c — продолжение обработки при файловых ошибках, ошибки выводятся на экран
    • /l — используется для обработки символьных ссылок, с этим параметром обрабатывается сама ссылка, а не ее целевой объект

    В примере группе Администраторы предоставлены разрешения Полный доступ.

  2. Для изменения разрешений папки используется команда icacls /grant :F /t /c /l /q. Пример: Параметры, используемые в команде:
    • /grant — предоставление указанных разрешений
    • :F — предоставление полного доступа указанной учетной записи или группе
    • /t — обрабатываются все файлы и подкаталоги в указанной папке
    • /c — продолжение обработки при файловых ошибках, ошибки выводятся на экран
    • /l — используется для обработки символьных ссылок, с этим параметром обрабатывается сама ссылка, а не ее целевой объект
    • /q — подавляются все сообщения об успешной обработке, сообщения об ошибках будут выводиться на экран

    Полный синтаксис утилиты командной строки takeown вы можете получить командой takeown /?

Как настроить права доступа CHMOD с помощью FTP менеджера FileZilla

Если при работе с ресурсом будет необходимо внести какие-то изменения, но по причине наличия запрета на редактирование это сделать невозможно, нужно подсоединиться к серверу хостинга по протоколу FTP и изменить права доступа на 777.  Однако после внесения в файл изменений  рекомендуется вновь выставить прежний CHMOD.

Теперь подробнее о том, как проделать эту операцию с помощью ФТП (FTP) клиента FileZilla. Для этого открываем программу и соединяемся посредством FTP к серверу хостера. В левой части «Удаленный сервер» сначала отмечаем файлы, атрибуты которых будут подвергнуты редактированию:

И из контекстного меню, вызванного нажатием правой кнопки мыши, выбираем «Права доступа к файлу». После этого появится диалоговое окно «Изменить атрибуты файла»:

Здесь присваиваем нужные значения CHMOD для выбранного (или выбранных) файлов. Но это только, если вы выбирали файл или группу файлов. В случае, если вы хотите установить или изменить значения CHMOD для каталога (папки) при выборе «Изменить атрибуты файла» появится аналоговое окно, несколько отличное от расположенного выше, а именно:

Видите, здесь появились дополнительные настройки. Если вы поставите галочку напротив строки «Перенаправить во вложенные каталоги», это значит, что заданные права доступа будут применены ко вложенным в эту директорию каталогам (папкам) либо файлам.  При отмеченной галочке ниже расположенная группа настроек станет активной и вам потребуется еще выбрать, как нужно применять настройки: ко всем файлам и каталогам, только ко вложенным файлам либо только к каталогам.

Часто возникают вопросы по поводу, что такое права доступа 777 и как их установить.

Права доступа 777 — это атрибуты файла или папки, которые указывают системе, кто и что может делать с данным файлом или папкой.

В unix-системах, различные права доступа, можно назначать трем типам пользователей:

  • владельцу файла,
  • члену группы,
  • всем остальным.

Вышеуказанное число 777, состоящий из трех цифр, каждая из которых отвечает за права для каждого из типов пользователей.

Права могут быть на чтение «R«, запись в папку или файл «W» и выполнения «X«.

Так вот, численное представление прав доступа 777 представляет собой арифметическую сумму трех цифр, обозначающих следующие права:

  • 4 = Read (право на чтение)
  • 2 = Write (право на запись)
  • 1 = Execute (право на выполнение)

В нашем случае 7 — это 4+2+1, то есть права на чтение, запись и исполнение. А 777 означает все права для всех, то есть чтение, запись и выполнение для владельца, члена группы и всех остальных.

В юникс (UNIX) — системах установить права доступа 777 можно командой:

chmod 777 filename

, где filename — название файла или папки.

В операционной системе Windows, удаленно манипулировать файлами и папками можно по протоколу FTP, с помощью файлового менеджера Total Commander. Там это делается следующим образом:

  1. Заходим на сервер по FTP (Ctrl-F).
  2. Выделяем необходимые элементы.
  3. Заходим в меню Files-> Change Attributes.
  4. Выставляем галочки напротив необходимых опций. Ok.

Мнемонические обозначения прав доступа

Доступ к файлам в системе прав имеет такие вариации:

  • r — доступ к чтению файла;
  • w — право редактирование данных (но не удаление);
  • x — возможость запускать файл к исполнению.

По отношению к каталогам действует такия система прав:

  • r — пользователь может читать любые файлы директории;
  • w — с этими правами можно создавать и удалять файлы в папке, даже если некоторые из них в каталоге принадлежат другому юзеру;
  • x — обозначает право входа в директорию. Если вы имеете права w к вложеной папке но не имеете прав на папку уровнем выше, то и к своей папке никак не пробьетесь.

Всего возможно 8 различных комбинаций, которые приведены на рисунке ниже.

С помощью таблицы ниже вы сможете понять, как реализовать сложные варианты назначения прав, а также как установить права доступа 777, используя мнемонические спецификации chmod.

Пример 1. Предоставление права доступа к папке определенной локальной группе безопасности только на чтение.

Данная ситуация очень распространена. Предположим у вас есть локальная папка, содержимым которой вы хотите поделиться с определенным количеством пользователей. Причем доступ к данной папке перечисленным пользователям должен быть только на чтение. Как это сделать?

Сначала создадим локальную группу, в которую включим весь список нужных нам пользователей. Можно и без группы, но тогда для каждого пользователя нужно будет настраивать права отдельно, и каждый раз, когда понадобится дать права новому человеку, потребуется проделывать все операции заново. А если права предоставить локальной группе, то для настройки нового человека понадобится только одно действие – включение этого человека в локальную группу. Как создать локальную группу безопасности читаем в статье «Настройка локальных групп безопасности».

Итак. Мы создали локальную группу безопасности с именем «Коллегам для чтения»,
в которую добавили всех нужных пользователей.

Теперь настраиваю права доступа к папке. В данном примере я сделаю права доступа созданной группе «Коллегам для чтения» на папку «Фото».

Нажимаю правой клавишей мышки на папку «ФОТО» и выбираю пункт меню «Свойства», перехожу на закладку «Безопасность».

В открывшейся закладке «Безопасность» отображаются текущие права папки «ФОТО». Выделив группы и пользователей в списке, можно увидеть, что права этой папки наследуются от родительской папки(серые галочки в столбце «Разрешить»). В данной ситуации я не хочу, чтобы кто-то кроме вновь созданной группы имел хоть какой-то доступ к папке «ФОТО».

Поэтому, я должен убрать наследование прав и удалить ненужных пользователей и группы из списка. Нажимаю кнопку «Дополнительно». В открывшемся окне,
убираю галочку с пункта «Наследовать от родительского объекта применимые к дочерним объектам разрешения, добавляя их к явно заданным в этом окне.». При этом откроется окно, в котором я смогу выбрать, что делать с текущими унаследованными правами.
В большинстве случаев я советую нажимать здесь кнопку «Копировать», так как если выбрать «Удалить», то список прав становится пуст, и вы можете фактически забрать права у самого себя. Да, не удивляйтесь, это очень легко сделать. И если вы не администратор на своем компьютере, или не пользователь группы «Операторы архива», то восстановить права вам будет невозможно. Ситуация напоминает дверь с автоматической защелкой, которую вы закрываете, оставляя ключи внутри. Поэтому, лучше всегда нажимайте кнопку «Копировать», а потом удаляйте ненужное.

После того, как я нажал «Копировать», я опять возвращаюсь в предыдущее окно, только уже со снятой галочкой.

Нажимаю «ОК» и возвращаюсь в окно базовых прав. Все права стали доступны для редактирования. Мне нужно оставить права для локальной группы «Администраторы» и пользователя SYSTEM, а остальных удалить. Я поочередно выделяю ненужных пользователей и группы и нажимаю кнопку «Удалить».

В результате у меня получается вот такая картина.

Теперь мне остается добавить только группу «Коллегам для чтения» и назначить этой группе права на чтение.

Я нажимаю кнопку «Добавить», и в стандартном окне выбора выбираю локальную группу «Коллегам для чтения». Как работать с окном выбора подробно описано в статье «Настройка локальных групп безопасности».

В результате всех действий, я добавил группу «Коллегам для чтения» в список базовых прав, при этом для этой группы автоматически установились права «Чтение и выполнение», «Список содержимого папки», «Чтение».

Все, остается нажать кнопку «ОК» и права назначены. Теперь любой пользователь, который принадлежит локальной группе безопасности «Коллегам для чтения», получит возможность читать все содержимое папки «ФОТО».

Пример

В компании работают менеджеры по продажам. Необходимо дать им доступ только к «своим» клиентам и продажам. Разрешить видеть отчет только по своим продажам и скрыть из него себестоимость.

Настроим владельцев контрагентов

  1. Перейдите в справочник контрагентов на экране Контрагенты.
  2. Откройте карточку контрагента на редактирование, для этого нажмите на строку с нужным контрагентом, а затем на кнопку Редактировать.
  3. Измените владельца контрагента на нужного пользователя, для этого нажмите на имя владельца, а затем выберите в списке нужного пользователя.
  4. Нажмите кнопку Сохранить.

Настроим права пользователя на доступ только к «своим» контрагентам

  1. Перейдите в справочник сотрудников Меню пользователя — Настройки — Сотрудники.
  2. Откройте карточку сотрудника, для этого нажмите на строке с его именем.
  3. Для того чтобы настроить права, отметьте системную роль «Пользователь» и нажмите кнопку Настроить права.
  4. В открывшемся окне Настройка доступа перейдите на вкладку Контрагенты.
  5. Напротив пункта Контрагенты выберите в столбце Смотреть значение «Только свои». Право на редактирование переключится автоматически.

Настроим права на заказы, счета и отгрузки

  1. Перейдите на вкладку Продажи.
  2. Напротив пунктов Заказы покупателей, Счета покупателям, Отгрузки, установим право на просмотр «Только свои».

Настроим отчет по продажам

Так как мы уже закрыли пользователю доступ к чужим отгрузкам, то в отчете Прибыльность он будет видеть только свои отгрузки.

Запретим видеть себестоимость

  1. Перейдите на вкладку Настройки.
  2. В разделе Настройки снимите флажок Видеть себестоимость, цену закупки и прибыль товаров.

Запретим доступ к прочим документам (на примере приемок)

  1. Перейдите на вкладку Закупки.
  2. Напротив пункта Приемки выберите в столбце Смотреть значение «Нет».

Чтобы сохранить настройки, нажмите кнопку Сохранить.

Итог.

  • Используйте разделы NTFS.
  • Когда разграничиваете доступ на папки (и файлы), то манипулируйте группами.
  • Создавайте учётные записи для каждого пользователя. 1 человек = 1 учётная запись.
  • Учётные записи включайте в группы. Учётная запись может входить одновременно в разные группы. Если учётная запись находится в нескольких группах и какая-либо группа что-то разрешает, то это будет разрешено учётной записи.
  • Колонка Запретить (запрещающие права) имеют приоритет перед Разрешением. Если учётная запись находится в нескольких группах и какая-либо группа что-то запрещает, а другая группа это разрешает, то это будет запрещено учётной записи.
  • Удаляйте учётную запись из группы, если хотите лишить доступа, которого данная группа даёт.
  • Задумайтесь о найме админа и не обижайте его деньгами.

Видеоматериал показывает частный случай, когда нужно всего лишь запретить доступ к папке, пользуясь тем, что запрещающие правила имеют приоритет перед разрешающими правила.

Дополнительные материалы:Как связать Microsoft Access с MySQL.

Ссылка на основную публикацию