Pré-Requisitos: Conhecimento de usuários e grupos de usuários.

Metodologia: Apresentar em detalhes os conceitos de pastas compartilhadas e permissões.

Vou iniciar o capítulo apresentando os conceitos teóricos relacionados com o compartilhamento de pastas, permissões de compartilhamento, permissões NTFS e a interação entre permissões de compartilhamento e permissões NTFS.

Quando o administrador compartilha uma pasta, ele está permitindo que o conteúdo da pasta seja acessado por outros computadores da rede. Quando uma pasta é compartilhada, os usuários podem acessá-la através da rede, bem como o conteúdo (subpastas e arquivos) da pasta que foi compartilhada. Por exemplo, você pode criar uma pasta compartilhada onde são colocados documentos, orientações e manuais, de tal forma que os estes possam ser acessados a partir de qualquer estação de trabalho conectada à rede.

Ao compartilhar uma pasta todo o conteúdo da pasta passa a estar disponível para acesso através da rede. Isso significa que se houverem outras subpastas, dentro da pasta compartilhada, estas também estarão disponíveis para acesso pela rede.

Considere o exemplo da Figura 11.1. Se a pasta C:\Documentos for compartilhada, todo o seu conteúdo e também o conteúdo das subpastas C:\Documentos\Ofícios e C:\Documentos\Memorandos estarão disponíveis para acesso através da rede.

Figura 11.1 Ao compartilhar uma pasta, todo o seu conteúdo estará disponível.

Quando uma pasta é compartilhada em um computador, é criado um caminho para acessar esta pasta a partir dos demais computadores da rede. Este caminho segue o padrão UNC – Universal Naming Convention (Convenção Universal de Nomes). Todo caminho que segue o padrão UNC inicia com duas barras invertidas, seguida pelo nome do computador onde está o recurso compartilhado (que pode ser uma pasta compartilhada, um impressora compartilhada, etc), mais uma barra invertida e o nome do compartilhamento. Imagine que você está compartilhando recursos em um servidor da rede cujo nome é: SRVRS001. Neste servidor são criadas três pastas compartilhadas com os seguintes nomes de compartilhamento: documentos, manuais e memorandos. No servidor SRVRS001 você também compartilha uma impressora com o nome de compartilhamento lasera1. Qual seria o caminho para acessar estes recursos, segundo o padrão UNC?

• \\SRVRS001\documentos
• \\SRVRS001\manuais
• \\SRVRS001\memorandos
• \\SRVRS001\lasera1

Nota: Conforme mostrarei na parte prática, o nome do compartilhamento não precisa ser igual ao da pasta que está sendo compartilhada. É recomendado que o nome do compartilhamento sirva como indicação para o conteúdo da pasta compartilhada, para facilitar a localização dos recursos disponíveis na rede e a pesquisa no Active Directory.

Restringindo o acesso à pastas compartilhadas

Porém quando uma pasta é compartilhada, não significa que o seu conteúdo deva ser acessado por todos os usuários da rede. É possível restringir quais usuários terão acesso à pasta compartilhada, e qual o número máximo de usuários que podem acessar a pasta simultaneamente. Esta restrição é feita através de Permissões de compartilhamento.

Com o uso de permissões de compartilhamento é possível definir quais os usuários que poderão acessar o conteúdo da pasta compartilhada. Para isso, é criada uma lista com o nome dos usuários e grupos que possuem permissão de acesso. Esta lista é tecnicamente conhecida como ACL – Access Control List (Lista de Controle de Acesso).

Também é possível limitar o que os usuários com permissão de acesso podem fazer. Pode haver situações em que alguns usuários devem ter permissão apenas para ler o conteúdo da pasta compartilhada, podem haver outras situações em que alguns usuários devem ter permissão de leitura e escrita, enquanto outros devem ter permissões totais, tais como leitura, escrita e até exclusão de arquivos e assim por diante.

Na Figura 11.2, mostro um exemplo, em que o grupo Gerentes possui permissões de Controle total, enquanto o grupo Usuários possui permissões apenas para leitura.

Figura 11.2 Grupos diferentes com permissões diferentes.

IMPORTANTE: As permissões definem o que o usuário pode fazer com o conteúdo de uma pasta compartilhada, desde somente leitura, até um controle total sobre o conteúdo da pasta compartilhada. Porém as permissões de compartilhamento somente tem efeito se o acesso for feito pela rede. Se o usuário fizer o logon no computador onde está a pasta compartilhada e acessa-la localmente, através do drive C: (ou outro drive qualquer onde está a pasta compartilhada), as permissões de compartilhamento não serão verificadas e, portanto, não terão nenhum efeito. Para limitar o acesso, mesmo localmente, usa-se as permissões NTFS, as quais serão descritas mais adiante.

Não esqueça:  Permissões de compartilhamento, não impedem o acesso ao conteúdo da pasta localmente, isto é, se um usuário fizer o logon no computador onde está a pasta compartilhada, o usuário terá acesso a todo o conteúdo da pasta, a menos que as Permissões NTFS estejam configurados de acordo. Permissões NTFS é assunto para daqui a pouco.

Ao criar um compartilhamento em uma pasta, por padrão o Windows Server 2003 atribui como permissão de compartilhamento Read (Somente Leitura) para o grupo Everyone (Todos), que conforme o nome sugere, significa qualquer usuário com acesso ao computador, seja localmente, seja pela rede. Ou seja, ao criar um compartilhamento, automaticamente será permitida a leitura em todo o conteúdo do compartilhamento para todos os usuários da rede. Esta situação já é um pouco melhor do que ocorria com o Windows 2000 Server, onde era definida, por padrão, permissão Full Control (Controle Total) para o grupo Everyone (Todos). Por isso ao criar um compartilhamento, o administrador já deve configurar as permissões necessárias, a menos que esteja sendo compartilhada uma pasta de domínio público, onde todos os usuários devam ter acesso de leitura em todos os arquivos e subpastas da pasta que está sendo compartilhada.

Entendendo as permissões de compartilhamento.

Existem três níveis de permissões de compartilhamento, conforme descrito a seguir:

Leitura: A permissão de Leitura permite ao usuário:

• Listar os nomes de arquivos e de subpastas, dentro da pasta compartilhada.
• Acessar as subpastas dentro da pasta compartilhada.
• Abrir os arquivos para leitura.
• Execução de arquivos de programa (.exe, .com, etc).

OBS: Pastas e arquivos possuem atributos, que o Windows Server 2003 utiliza para gerenciar os arquivos. Por exemplo, existe um atributo Somente leitura, que uma vez marcado torna o arquivo somente leitura, isto é, não podem ser feitas alterações no arquivo. Para ver os atributos de um arquivo ou pasta, basta dar um clique com o botão direito do mouse no arquivo ou pasta, e no menu que surge dê um clique na opção Properties (Propriedades). O Windows Server 2003 exibe uma janela onde é possível verificar e modificar os atributos do arquivo ou pasta, desde que o usuário tenha as devidas permissões.

Alteração: Permite ao usuário os mesmos direitos da permissão leitura, mais os seguintes direitos:

• Criação de arquivos e subpastas
• Alteração de dados nos arquivos
• Exclusão de subpastas e arquivos

OBS: No Windows Server 2003, objetos como pastas e arquivos possuem um “dono”, o qual por padrão é o usuário que estava logado e que criou a pasta ou arquivo. Conforme mostrarei no final deste capítulo é possível, ao Administrador, tornar-se dono de uma pasta ou arquivo, utilizando uma ação de Take Ownership.

• Controle total: Esta é a permissão padrão que se aplica a todos os novos compartilhamentos. Essa permissão era atribuída ao grupo Everyone (Todos) ao compartilhar um recurso no Windows 2000 Server. Já no Windows Server 2003 é atribuída a permissão Read (Somente Leitura) ao grupo Everyone (Todos) por padrão, quando um novo compartilhamento é criado. Controle total possibilita as mesmas operações que Leitura e Alteração, mais as seguintes:
  • Alteração de permissões (apenas para arquivos e pastas do NTFS)
  • Apropriação (Take Ownership), apenas para arquivos e pastas do NTFS.

As permissões de compartilhamento: Leitura, Alteração e Controle total, podem ser Permitidas ou Negadas. Ou seja podemos permitir o acesso com um determinado nível (leitura, alteração ou Controle total) ou negar explicitamente o acesso para um usuário ou grupo para quaisquer uma destas permissões. Considere um exemplo prático. Suponha que todos os usuários do grupo Gerentes devem ter acesso de Leitura a uma pasta compartilhada, com exceção de um gerente cuja conta de usuário é jsilva, o qual deve ter negado o direito de leitura na referida pasta. Para simplificar a atribuição de permissões o administrador faz o seguinte:

• Permissão de Leitura para o grupo Gerentes – Permitir
• Permissão de Leitura para o usuário jsilva – Negar

Com isso todos os usuários do grupo Gerentes terão permissão de leitura, com exceção do usuário “jsilva”, o qual teve a permissão de leitura negada. Outra recomendação é que sempre devemos atribuir permissões para grupos de usuários, ao invés de atribuir para usuários individuais, pois isso facilita a administração, conforme descrito no Capítulo 9.

Importante: Negar sempre tem precedência sobre permitir. Por exemplo, se o usuário pertencer a cinco grupos, sendo que quatro dos quais tem permissão de acesso e o outro grupo tem negada a permissão de acesso, o usuário terá negada a permissão de acesso. A permissão negar acesso, herdada de um dos grupos, terá precedência sobre todas as demais permissões herdadas dos demais grupos.

Quando um usuário pertence a mais de um grupo, como é que fica a permissão efetiva do usuário?

Quando um usuário pertence, por exemplo, a dois grupos e os dois grupos recebem permissão para acessar um compartilhamento, sendo que os dois grupos possuem permissões diferentes, por exemplo, um tem permissão de Leitura e o outro de Alteração. Como é que ficam as permissões do usuário que pertence aos dois grupos ?

Para responder a esta questão, considere as seguintes observações:

• Quando um usuário pertence a mais de um grupo, cada qual com diferentes níveis de permissões para uma pasta compartilhada, o nível de permissão para o usuário que pertence a mais de um grupo, é a combinação das permissões atribuídas aos diferentes grupos.

No nosso exemplo, o usuário pertence a dois grupos, um com permissão de somente leitura e outro com permissão de alterações. A nível de permissão do usuário é de alterações, pois é a soma das permissões dos dois grupos, conforme indicado na Figura 11.3:

Figura 11.3 Usuário que pertence a mais de um grupo.

• Negar têm precedência sobre quaisquer outras permissões:

Vamos considerar o exemplo do usuário que pertence a três grupos. Se em um dos grupos ele tiver permissão de leitura e em outro grupo permissão de alteração. Mas se para o terceiro grupo, for negada a permissão de leitura, o usuário terá o acesso negado, uma vez que Negar tem precedência sobre quaisquer outras permissões, conforme indicado pela Figura 11.4.

Figura 11.4 Negar tem precedência sobre permitir.

IMPORTANTE: Quando uma pasta compartilhada é copiada, a pasta original permanece compartilhada, porém a cópia não é compartilhada. Quando o administrador move uma pasta compartilhada , a pasta deixa de ser compartilhada.

Orientações para a criação de pastas compartilhadas:

• Todo compartilhamento deve ter um nome, para que o compartilhamento possa ser acessado pela rede, conforme descrito anteriormente e será demonstrado na parte prática mais adiante. O nome do compartilhamento pode ser diferente do nome da pasta. Uma recomendação importante é para que seja escolhido um nome descritivo do conteúdo da pasta, de tal maneira que o compartilhamento seja mais facilmente localizada na rede. Você não colocaria um nome de compartilhamento “Projetos” em uma pasta compartilhada com documentos contábeis?

Nota: Se você ainda tem clientes baseados no Windows 3.x ou no MS-DOS, você deve utilizar nomes de compartilhamento com o máximo de 8 caracteres para o nome. Nomes de compartilhamento maiores do que 8 caracteres não estarão visíveis para clientes baseados no Windows 3.x e no MS-DOS. Estes clientes verão os nomes de pastas e artigos no formato truncado, adaptado para o formato 8.3 (oito caracteres para o nome e três caracteres para a extensão), que é o formato suportado pelo Windows 3.x e pelo MS-DOS.

• Organize os recursos, de tal maneira que todos os pastas que devam ser acessadas pelo mesmo grupo de usuários, com o mesmo nível de permissão, estejam dentro da mesma pasta compartilhada. Por exemplo, se você possui sete pastas com documentos e programas, os quais devem ser acessados pelos grupos Contabilidade e Marketing. Coloque estas pastas dentro de uma pasta principal e compartilhe a pasta principal, ao invés de criar sete compartilhamentos individuais. Em seguida atribua permissões de acesso somente para os grupos Contabilidade e Marketing.
• Configure o nível de permissão mínimo necessário para que os usuários realizem o seu trabalho. Por exemplo se os usuários precisam apenas ler os documentos em uma pasta compartilhada, atribua permissão de Leitura e não de Alteração ou Controle total.
• Sempre que possível, atribua permissões para grupos de usuários e não para usuários individuais, pois isso facilita a administração, conforma já salientado diversas vezes neste capítulo e no Capítulo 9.
• Determine quais grupos necessitam acesso a quais pastas compartilhadas e com quais níveis de permissão. Documente bem todo esse processo, para que você possa ter um bom controle sobre os recursos compartilhados e as permissões atribuídas.

Sistemas de arquivos e permissões NTFS – conceito

Agora mostrarei alguns detalhes sobre os sistemas de arquivos que o Windows Server 2003 reconhece e também sobre permissões NTFS.

Um sistema de arquivos determina a maneira como o Windows Server 2003 organiza e recupera as informações no Disco rígido ou em outros tipos de mídia. O Windows Server 2003 reconhece os seguintes sistemas de arquivos:

• FAT
• FAT32
• NTFS
• NTFS 5

O sistema FAT vem desde a época do MS-DOS e tem sido mantido por questões de compatibilidade. Além disso se você tiver instalado mais de um Sistema Operacional no seu computador, alguns sistemas mais antigos (DOS, Windows 3.x e as primeiras versões do Windows 95 ) somente reconhecem o sistema FAT. Com o sistema de arquivos FAT, a única maneira de restringir o acesso ao conteúdo de uma pasta compartilhada, é através das permissões de compartilhamento, as quais, conforme descrito anteriormente, não terão nenhum efeito se o usuário estiver logado localmente, na máquina onde a pasta foi compartilhada. Com a utilização do sistema FAT, alguns recursos avançados, tais como compressão, criptografia e auditoria , não estão disponíveis.

O sistema FAT32 apresenta algumas melhorias em relação ao sistema FAT. Existe um melhor aproveitamento do espaço no disco, o que conseqüentemente gera menor desperdício do espaço em disco (este melhor uso do espaço em disco tem a ver com a questão da Fragmentação de Volumes, discutida no Capítulo 10). Um grande inconveniente do sistema FAT32 é que ele não é reconhecido pelo Windows NT Server 4.0. Com o sistema de arquivos FAT32, a única maneira de restringir o acesso ao conteúdo de uma pasta compartilhada, é através das permissões de compartilhamento, as quais, conforme descrito anteriormente, não terão nenhum efeito se o usuário estiver logado localmente, na máquina onde a pasta foi compartilhada. Com a utilização do sistema FAT32, alguns recursos avançados, tais como compressão e criptografia e auditoria , não estão disponíveis.

O sistema de arquivos NTFS é utilizado no Windows NT Server 4.0 e foi mantido no Windows 2000 Server por questões de compatibilidade. É um sistema bem mais eficiente do que FAT e FAT32, além de permitir uma série de recursos avançados, tais como:

• Permissões de controle de acesso a arquivos e pastas – permissões NTFS.
• Compressão de arquivos e pastas.
• Auditoria de acesso.
• Partições bem maiores do que as permitidas com FAT e FAT32.
• Desempenho bem superior do que com FAT e FAT32.
• Menor índice de fragmentação de partições e volumes.

Uma das principais vantagens do NTFS é que o ele permite que sejam definidas permissões de acesso para arquivos e pastas, isto é, posso ter arquivos em uma mesma pasta, com permissões diferentes para usuários diferentes. Além disso, as permissões NTFS têm efeito localmente, isto é, mesmo que o usuário faça o logon no computador onde um determinado arquivo existe, se o usuário não tiver as permissões NTFS necessárias, ele não poderá acessar o arquivo. Isso confere um alto grau de segurança, desde que as permissões NTFS sejam configuradas corretamente.

No Windows 2000 Server foi introduzido NTFS 5, a nova versão do NTFS, que é a versão utilizada pelo Windows Server 2003. O NTFS 5 apresenta diversas melhorias em relação a versão mais antiga do NTFS, tais como:

• Criptografia de arquivos e pastas (a criptografia é uma maneira de “embaralhar” a informação de tal forma que mesmo que um arquivo seja copiado, o arquivo se torna ilegível, a não ser para a pessoa que possui a chave para descriptografar o arquivo). Para detalhes sobre Criptografia de arquivos e pastas consulte o Capítulo 10.
• Quotas de usuário, fazendo com que seja possível limitar o espaço em disco que cada usuário pode utilizar.
• Gerenciamento e otimização melhorados.

Conforme descrito anteriormente, o administrador pode definir permissões de acesso para pastas ou arquivos, mas somente em unidades formatadas com o sistema de arquivos NTFS (seja na versão do NT Server 4.0 ou o NTFS 5 do Windows 2000 Server/Windows Server 2003 ). Por isso que é aconselhável instalar o Windows Server 2003 sempre em unidades formatadas com NTFS, pois isso permite uma maior segurança e proteção dos dados. As partições NTFS apresentam um desempenho um pouco inferior do que as partições FAT32, em termos de velocidade. Porém em termos de segurança não existe comparação, por isso recomendo a utilização do sistema NTFS. Se você estiver em dúvidas, no momento da instalação do Windows Server 2003, pode optar por formatar o disco rígido utilizando FAT 32. Depois é possível converter para NTFS, sem perda de dados. Porém cuidado, uma vez convertido o disco rígido para NTFS não é possível reverter para FAT32. A única maneira é fazer um backup do disco rígido, formatando-o novamente com FAT32 e restaurar o backup.

Com relação as permissões NTFS, existe um conjunto diferente de permissões quando tratamos de pastas ou arquivos. Na Figura 11.5 apresento um resumo das permissões de pasta e de arquivos, com as ações associadas com cada permissão.

Figura 11.5 Ações associadas com as permissões de pasta e arquivos.

A seguir apresento a descrição, com maiores detalhes, para cada uma das permissões listadas na Figura 11.5:

• Traverse Folder/Execute File (Permissão Desviar pasta/Executar arquivo): Estas permissões são aplicadas a pastas e arquivos. Para as pastas, Desviar pasta permite ou nega o movimento através de pastas para acessar outros arquivos ou pastas, mesmo que o usuário não tenha permissões referentes às pastas desviadas (aplica-se somente a pastas). Por exemplo vamos supor que o usuário tem permissão na pasta C:\Documentos, não tem permissão na pasta C:\Documentos\Ofícios e tem na pasta C:\Documentos\Ofícios\2001. Neste caso, o usuário para chegar até a pasta 2001, terá que passar pela pasta Ofícios, para a qual ele não tem permissão. Para que o usuário possa passar pela pasta Ofício, o administrador deve atribuir-lhe a permissão Desviar pasta. Desviar pasta tem efeito apenas quando o grupo ou usuário não tem o direito de usuário Ignorar verificação com desvio no snap-in de diretivas de grupo. (Por padrão, o grupo Todos tem o direito de usuário Ignorar verificação com desvio.)

Para os arquivos: Execute File (Executar arquivo) permite ou nega a execução de arquivos de programa (aplica-se somente a arquivos). Ao definir a permissão Traverse Folder (Desviar Pasta) em uma pasta, você não está automaticamente definindo a permissão Executar arquivo em todos os arquivos dessa pasta.

• Permissão List Folder/Read Data (Listar Pasta/Ler Dados): List Folder (Listar Pasta) permite ou nega a exibição de nomes de arquivos e subpastas dentro da pasta. Essa permissão afeta apenas o conteúdo da pasta em questão, não afetando o fato de a pasta na qual a permissão está sendo definida ser listada ou não. Aplica-se somente a pastas. Read Data (Ler Dados) permite ou nega a exibição de dados em arquivos (aplica-se somente a arquivos). Por exemplo, se o usuário tem permissão de Ler dados em um arquivo do Word, este usuário poderá abrir o arquivo, porém não poderá altera-lo ou excluí-lo.
• Permissão Read Attributes (Ler Atributos): Permite ou nega a exibição de atributos de um arquivo ou pasta, como os atributos somente leitura ou oculto. Os atributos são definidos pelo NTFS. Para acessar os atributos de uma pasta ou arquivo, clique com o botão direito do mouse na pasta/arquivo e, no menu que surge, dê um clique na opção Properties (Propriedades).
• Permissão Read Extended Attributes (Ler Atributos Estendidos): Permite ou nega a exibição de atributos estendidos de um arquivo ou pasta. Os atributos estendidos são definidos por programas e podem variar de acordo com o programa.
• Permissão Create Files/Write Data (Criar Arquivos/Gravar Dados): Criar arquivos permite ou nega a criação de arquivos dentro da pasta (aplica-se somente a pastas). Gravar dados permite ou nega as alterações no arquivo e a substituição de um conteúdo existente (aplica-se somente a arquivos). Esta permissão é mais conhecida por permissão de Escrita (ou Alteração).
• Create Folders/Append Data (Permissão Criar Pastas/Acrescentar Dados): Criar pastas permite ou nega a criação de pastas dentro da pasta na qual a permissão foi definida (aplica-se somente a pastas). Acrescentar dados permite ou nega as alterações no final do arquivo, mas não a alteração, exclusão ou substituição de dados existentes (aplica-se somente a arquivos).
• Permissão Write Attributes (Gravar Atributos): Permite ou nega a alteração de atributos de um arquivo ou pasta, como somente leitura ou oculto. Os atributos são definidos pelo NTFS. A permissão Gravar atributos não implica na criação ou exclusão de arquivos ou pastas, apenas inclui a permissão para efetuar alterações nos atributos de um arquivo ou de uma pasta.
• Permissão Write Extended Attributes  (Gravar Atributos Estendidos): Permite ou nega a alteração de atributos estendidos de um arquivo ou pasta. Os atributos estendidos são definidos por programas e podem variar de acordo com o programa. A permissão Gravar atributos estendidos não implica na criação ou exclusão de arquivos ou pastas, apenas inclui a permissão para efetuar alterações nos atributos de um arquivo ou de uma pasta.
• Permissão Delete Subfolders and Files (Excluir Subpastas e Arquivos): Permite ou nega a exclusão de subpastas e arquivos, mesmo que a permissão Excluir não tenha sido concedida na subpasta ou arquivo. (aplica-se a pastas). Por exemplo, se você não tem permissão de Excluir na pasta Documentos, mas tem permissão de Excluir em um arquivo memo.doc, que está na pasta Documentos, você conseguirá Excluir o documento memo.doc, pois as permissões de arquivo tem precedência sobre as permissões de pastas, quando conflitantes.
• Permissão Delete (Excluir): Permite ou nega a exclusão da pasta e/ou arquivo. Se o usuário não tiver permissão de excluir em um arquivo ou pasta, ele ainda poderá excluir o arquivo ou pasta, se ele tiver permissão Delete Subfolders and Files (Excluir Subpastas e Arquivos) na pasta pai. Por exemplo, suponha uma pasta Documentos, na qual o usuário tem permissão Delete Subfolders and Files. Dentro da pasta Documentos tem a pasta Ofícios, na qual o usuário não tem permissão Delete. Mesmo assim ele poderá excluir a pasta Ofícios, pois ele tem permissão Delete Subfolders and Files na pasta Pai de Ofícios que é a pasta Documentos.
• Permissão Read Permissions (Ler Permissões): Permite ou nega a leitura de permissões do arquivo ou pasta, como Controle total, Ler e Gravar. Se o usuário não tiver esta permissão, ele não poderá exibir a lista com as permissões definidas para um arquivo e/ou pasta.
• Permissão Change Permissions (Alterar Permissões): Permite ou nega a alteração de permissões do arquivo ou pasta, como Controle total, Ler e Gravar. Esta é uma permissão “poderosa” e que deve ser utilizada com cuidado. Uma vez que o usuário tem permissão para Alterar permissões, ele pode perfeitamente atribuir Controle total para ele mesmo, ou seja, para a sua conta de usuário.
• Permissão Take Ownership (Apropriar-se) : Permite ou nega a apropriação (tornar-se dono) do arquivo ou pasta. O proprietário de um arquivo ou pasta sempre pode alterar permissões, independentemente de qualquer permissão existente que proteja o arquivo ou pasta. O dono de um arquivo ou pasta, por padrão,  é o usuário que cria o arquivo /pasta.

Todo arquivo ou pasta em uma unidade formatada com NTFS, possui uma “Lista de controle de acesso  (Access Control List ) – ACL. Nesta ACL fica uma lista de todas as contas de usuários e grupos para os quais foi garantido acesso para o recurso, bem como o nível de acesso de cada um deles.

Existem alguns detalhes que devem ser reforçados/revisados sobre as permissões NTFS:

• Permissões NTFS são cumulativas, isto é , se um usuário pertence a mais de um grupo, os quais tem diferentes níveis de permissão para um recurso, a permissão efetiva do usuário é a soma das permissões atribuídas aos grupos aos quais o usuário pertence.
• Permissões NTFS para um arquivo têm prioridade sobre permissões NTFS para pastas. Por exemplo se um usuário têm permissão NTFS de escrita em uma pasta, mas somente permissão NTFS de leitura para um arquivo dentro desta pasta, a sua permissão efetiva será somente a de leitura, pois a permissão para o arquivo tem prioridade sobre a permissão para a pasta.
• Negar uma permissão NTFS tem prioridade sobre permitir. Por exemplo, se um usuário pertence a dois grupos diferentes. Para um dos grupos foi dado permissão de leitura para um arquivo e para o outro grupo foi Negada a permissão de leitura, o usuário não terá o direito de leitura, pois Negar  tem prioridade sobre Permitir.

Agora que você já viu a teoria necessária, é hora de praticar um pouco. Nas próximas lições você irá aprender a compartilhar pastas, atribuir permissões de compartilhamento. Irá aprender a acessar pastas compartilhadas através da rede. Depois irá trabalhar um pouco com as permissões NTFS. Mostrarei como atribuir permissões NTFS e testar uma série de situações práticas.

Importante: Para os exemplos práticos a seguir, vamos utilizar as contas de usuários e contas de grupos: user1, user2, user3, user4 e user5, bem como os respectivos grupos: vendas, diretoria e empresa. Com isso vou utilizar a seguinte configuração de usuários/grupos:

Usuário: user1               senha: senha;123

Usuário: user2               senha: senha;123

Usuário: user3               senha: senha;123

Usuário: user4               senha: senha;123

Usuário: user5               senha: senha;123

Grupos locais do domínio aos quais pertence cada usuário:

Grupo: Diretoria    Usuários: Administrador
                              user2
                              user4

Grupo: Vendas      Usuários:  user3
                              user4
                              user5

Grupo: Empresa     Usuários:  user1
                              user2
                              user3
                              user4
                              user5

Nota: Utilizarei estes grupos e usuários para definir as permissões de compartilhamento e também as permissões NTFS, nos exemplos práticos. Você pode utilizar outros grupos e usuários, o uso destes grupos tem por objetivo facilitar o acompanhamento dos exemplos práticos, mesmo que você não esteja fazendo o acompanhamento diretamente em um servidor, apenas fazendo a leitura dos exemplos.