Как настроить безопасные разрешения для общих папок в локальной сети Windows

Безопасная общая папка в Windows — это не когда «всем всё можно», а когда каждый видит и меняет только то, что действительно нужно для работы. В небольшой сети это обычно делается через общие папки Windows, права NTFS и отдельные группы пользователей. Если сразу открыть доступ всем на запись, потом сложно понять, кто удалил файл, кто поменял договор и почему у бывшего сотрудника остался доступ.

Ниже — рабочая схема, которую можно применить дома, в маленьком офисе или в отделе без сложной инфраструктуры. Она подходит для Windows 10, Windows 11 и Windows Server, если папка расшарена по сети через SMB.

Сначала решите, какие права реально нужны

Перед настройкой прав разложите папки по смыслу. Не начинайте с кнопок в Windows — начните с вопроса: кто должен читать, кто редактировать, кто удалять и кто администрировать.

Например, в общей папке могут быть такие разделы:

  • Шаблоны документов — все читают, редактирует только ответственный.
  • Бухгалтерия — читает руководитель, редактируют бухгалтеры, остальные не видят.
  • Договоры — читают менеджеры, меняет юрист или руководитель.
  • Временный обмен — можно дать запись, но отдельно от важных документов.

Главная идея простая: не давайте группе Modify там, где достаточно чтения. Пользователь с правами на изменение может случайно удалить файл, а вредоносная программа, запущенная под его учётной записью, сможет зашифровать всё, куда у него есть запись.

Два слоя прав: «Доступ» и «Безопасность»

В Windows у общей папки есть два уровня разрешений, и их часто путают.

Где задаётся За что отвечает Как использовать на практике
Share Permissions, вкладка «Доступ» Разрешает вход в папку по сети: чтение, изменение или полный доступ к общей папке. Делайте этот слой широким, но без лишней свободы: например, Authenticated Users — Change или Domain Users — Change.
NTFS Permissions, вкладка «Безопасность Управляет доступом к файлам и папкам на диске. Работает и по сети, и локально. Здесь задавайте точные права: кто читает, кто изменяет, кому нельзя заходить.

Итоговое право считается по более строгому уровню. Если на уровне общей папки стоит только чтение, а на уровне NTFS дано изменение, пользователь всё равно не сможет писать. Поэтому для папок с записью на вкладке «Доступ» обычно дают Change, а точное ограничение делают во вкладке «Безопасность».

Для большинства рабочих сценариев нормальная схема такая:

  • на уровне общей папки: Authenticated Users или Domain Users получают Change;
  • на уровне NTFS: конкретные группы получают Read, Modify или Full Control;
  • обычные пользователи не получают Full Control.

Какие права давать пользователям

Тип права Что сможет делать пользователь Когда давать Кому обычно подходит
Read / Чтение Открывать файлы, просматривать список папок, копировать файлы себе. Для шаблонов, инструкций, справочников, архивных документов. Большинству сотрудников, которым не нужно менять файлы.
Modify / Изменение Создавать, редактировать, переименовывать и удалять файлы в пределах папки. Для рабочих папок отдела, где люди реально ведут документы. Бухгалтерии, юристам, менеджерам, ответственным за раздел.
Full Control / Полный доступ Всё, что даёт Modify, плюс изменение прав и владения объектом. Только для администрирования и исключительных случаев. Администраторам, SYSTEM, иногда ответственному за структуру папок.

Не давайте обычным сотрудникам Full Control на рабочие папки. Для ежедневной работы почти всегда достаточно Modify. Полный доступ нужен не для редактирования документов, а для управления правами.

Лучше использовать группы, а не отдельных пользователей

Права лучше назначать не пользователю Ивану или Ольге, а группам. Тогда при смене сотрудника вы просто убираете его из группы, а не лазите по правам каждой папки.

Например, для папки бухгалтерии можно создать такие группы:

  • SF_Accounting_Read — те, кто только читает бухгалтерские документы.
  • SF_Accounting_Modify — бухгалтеры, которые ведут файлы.
  • SF_Accounting_Admin — администраторы или ответственный за структуру папки.

Префикс SF_ можно заменить на любой удобный, например Share_Accounting_Read. Главное, чтобы по названию было понятно, к какой папке относится группа и какое право она даёт.

В доменной сети группы создаются в Active Directory. В рабочей группе без домена — на компьютере, где лежит папка. Если пользователей много, домен или отдельный файловый сервер обычно удобнее: правами проще управлять централизованно.

Как настроить общую папку через интерфейс Windows

  1. Создайте отдельную папку для общих файлов, например D:\Shared. Не стоит расшаривать рабочий стол, «Документы» пользователя или корень диска.

  2. Нажмите правой кнопкой по папке → СвойстваДоступРасширенная настройка.

  3. Поставьте галочку Открыть общий доступ к этой папке. Имя общей папки лучше сделать коротким и понятным: Accounting, Templates, Contracts.

  4. Откройте Разрешения. Для папки с записью добавьте Authenticated Users или Domain Users и дайте Изменение. Для папки только на чтение достаточно Чтение.

  5. Перейдите во вкладку Безопасность. Здесь добавьте созданные группы и назначьте NTFS-права: Read, Modify или Full Control.

  6. Проверьте, что у Administrators и SYSTEM есть полный доступ. Не удаляйте их случайно при чистке прав.

  7. Проверьте доступ с другого компьютера по пути вида \\ИмяКомпьютера\Accounting или \\192.168.1.20\Accounting.

Если Windows просит логин и пароль, это нормально. Для безопасной общей папки гостевой доступ лучше не использовать. Пользователь должен заходить под своей учётной записью, чтобы доступ можно было контролировать и при необходимости отключить.

Что выбрать для домена, рабочей группы и домашнего использования

Ситуация Как лучше организовать доступ На что обратить внимание
Дом, 2–3 компьютера Отдельная папка на одном ПК, отдельные пользователи или одна аккуратная группа для семьи. Включите парольную защиту, не используйте гостевой доступ на постоянных рабочих файлах.
Малый офис без домена Создайте локальные группы на компьютере-сервере и добавляйте туда пользователей. У каждого сотрудника должна быть своя учётная запись. Общий логин «office» быстро превращается в проблему.
Офис с доменом Используйте группы Active Directory: Domain Users, отделные группы и группы по ролям. Права назначайте доменным группам, а не отдельным доменным пользователям.
Папка для временного обмена Сделайте отдельную папку с Authenticated Users — Change. Не смешивайте её с бухгалтерией, договорами и архивами. Периодически чистите.
Финансы, кадры, договоры Отдельная папка, отдельные группы чтения и изменения, аудит доступа. Никакого Everyone на запись. Полный доступ — только администраторам.

Как правильно работать с наследованием прав

Windows обычно наследует права от родительской папки. Это удобно: создали структуру, настроили один раз, новые файлы получают те же права.

Не отключайте наследование без причины. Если внутри общей папки есть раздел, где права должны быть такими же, оставьте всё как есть. Отключать наследование стоит только тогда, когда конкретная вложенная папка требует отдельной политики доступа.

Если всё же нужно отключить наследование:

  1. Откройте Свойства папки → БезопасностьДополнительно.
  2. Нажмите Отключить наследование.
  3. Выберите вариант Преобразовать унаследованные разрешения в явные.
  4. Удалите лишние группы, но оставьте Administrators и SYSTEM.
  5. Добавьте нужные группы с правильными правами.

Опцию замены прав на всех вложенных объектах используйте осторожно. Она может быстро «сломать» доступ к подпапкам, где уже были отдельные настройки. Перед массовыми изменениями лучше проверить структуру папок и убедиться, что есть резервная копия.

Проверка: как понять, что права настроены правильно

Не ограничивайтесь проверкой с компьютера, на котором лежит папка. Администратор часто видит всё, потому что у него есть админские права, и это не показывает реальную картину.

Проверяйте так:

  • зайдите с другого компьютера в сеть;
  • откройте общую папку под учётной записью обычного пользователя;
  • попробуйте открыть файл;
  • попробуйте создать новый файл;
  • попробуйте переименовать и удалить тестовый файл;
  • откройте вложенную папку с отдельными правами и
Оцените статью
PEFile — Безопасность и технологии простым языком