วิธีตั้งค่าการอนุญาตไฟล์และโฟลเดอร์ใน Windows

โดยปกติ คุณไม่ต้องกังวลเกี่ยวกับการอนุญาตในWindowsเพราะได้รับการดูแลโดยระบบปฏิบัติการ(operating system)แล้ว ผู้ใช้แต่ละคนมีโปรไฟล์และชุดสิทธิ์ของตนเอง ซึ่งป้องกันการเข้าถึงไฟล์และโฟลเดอร์โดยไม่ได้รับอนุญาต

อย่างไรก็ตาม มีบางครั้งที่คุณอาจต้องการกำหนดค่าการอนุญาตด้วยตนเองบนชุดของไฟล์หรือโฟลเดอร์ เพื่อป้องกันไม่ให้ผู้ใช้รายอื่นเข้าถึงข้อมูล โพสต์นี้สันนิษฐานว่า "ผู้คน" คนอื่นๆ มีสิทธิ์เข้าถึงคอมพิวเตอร์เครื่องเดียวกับที่คุณใช้

ถ้าไม่เช่นนั้น คุณก็เข้ารหัสฮาร์ดไดรฟ์ของคุณได้เช่นกัน อย่างไรก็ตาม เมื่อผู้อื่นสามารถเข้าถึงคอมพิวเตอร์ได้ เช่นครอบครัวหรือเพื่อน(family or friends)การอนุญาตก็มีประโยชน์

แน่นอนว่ายังมีทางเลือกอื่นๆ เช่น การซ่อนไฟล์และโฟลเดอร์โดยใช้แอตทริบิวต์ของไฟล์ หรือการใช้พรอมต์คำสั่ง(command prompt)เพื่อซ่อนข้อมูล คุณสามารถซ่อนทั้งไดรฟ์ในWindowsได้หากต้องการ

หากคุณต้องการตั้งค่าการอนุญาตเพื่อแชร์ไฟล์กับผู้อื่น โปรดดูโพสต์ของฉันเกี่ยวกับการสร้างการแชร์เครือข่ายที่ซ่อนอยู่(hidden network share)หรือวิธีแชร์ไฟล์ระหว่างคอมพิวเตอร์ แท็บเล็ต และโทรศัพท์

ล็อคโฟลเดอร์

ความปลอดภัยของข้อมูล

โอกาสเดียวที่คุณจะต้องยุ่งกับการอนุญาตโฟลเดอร์หรือไฟล์(folder or file permissions)คือเมื่อคุณได้รับข้อผิดพลาด Permission Denied(Permission Denied error)เมื่อพยายามเข้าถึงข้อมูล ซึ่งหมายความว่าคุณสามารถเป็นเจ้าของไฟล์ที่ไม่ได้เป็น ของ (t belong)บัญชีผู้ใช้(user account)ปัจจุบันของคุณและยังคงเข้าถึงไฟล์เหล่านั้นได้

นี่เป็นสิ่งสำคัญเนื่องจากหมายความว่าการตั้งค่าการอนุญาตบนไฟล์หรือโฟลเดอร์(file or folder)ไม่รับประกันความปลอดภัยของไฟล์หรือโฟลเดอร์(file or folder)นั้น ในWindowsผู้ดูแลระบบบนพีซีที่ใช้ Windows(Windows PC)สามารถแทนที่การอนุญาตในชุดของไฟล์และโฟลเดอร์ได้ด้วยการเป็นเจ้าของ เมื่อคุณมีความเป็นเจ้าของแล้ว คุณสามารถตั้งค่าการอนุญาตของคุณเองได้

แล้วนี่หมายความว่าอย่างไรในภาษาอังกฤษ(English) ? โดยทั่วไป(Basically)หากคุณมีข้อมูลที่คุณไม่ต้องการให้ผู้อื่นเห็น คุณไม่ควรเก็บไว้ในคอมพิวเตอร์เครื่องนั้นเลย หรือคุณควรใช้เครื่องมือเข้ารหัส(encryption tool)อย่างTrueCrypt

สำหรับผู้อ่าน ที่คลั่งไคล้เทคโนโลยี คุณอาจจะพูดว่า “ เดี๋ยวก่อน(Hey)TrueCryptถูกยกเลิกเนื่องจากช่องโหว่ด้านความปลอดภัยและไม่ควรใช้!” ถูกต้อง แต่TrueCrypt ได้รับการตรวจสอบ(TrueCrypt has been audited)โดยองค์กรอิสระและ Phase(organization and Phase) I และPhase IIได้เสร็จสิ้นลงแล้ว

เวอร์ชันเดียวที่คุณควรดาวน์โหลดคือTrueCrypt 7.1aซึ่งเป็นเวอร์ชันที่อัปโหลดไปยังมิเรอร์ที่ตรวจสอบแล้วบนGitHub หากคุณไม่สะดวกในการใช้TrueCryptคำแนะนำเดียวที่ฉันมีคือVeraCryptซึ่งเป็นผู้สืบทอดต่อTrueCryptแต่ได้แก้ไขข้อบกพร่องมากมาย

สิทธิ์ของไฟล์และโฟลเดอร์

เมื่อเราทำทุกอย่างเสร็จแล้ว มาพูดถึงการอนุญาตในWindowsกัน ทุกไฟล์(Every file)และทุกโฟลเดอร์ในWindowsมีชุดสิทธิ์อนุญาตของตัวเอง สิทธิ์สามารถแบ่งออกเป็นรายการควบคุมการเข้าถึง(Access Control Lists)กับผู้ใช้และสิทธิ์ที่เกี่ยวข้อง นี่คือตัวอย่างที่มีรายชื่อผู้ใช้ที่ด้านบนและสิทธิ์ที่ด้านล่าง:

แก้ไขการอนุญาต

สิทธิ์ยังได้รับการสืบทอดหรือไม่ โดยปกติในWindowsทุกไฟล์หรือโฟลเดอร์จะได้รับสิทธิ์จากโฟลเดอร์(parent folder)หลัก ลำดับชั้นนี้ดำเนินต่อไปจนถึงรากของฮาร์ดไดรฟ์ การอนุญาตที่ง่ายที่สุดมีผู้ใช้อย่างน้อยสามคน: SYSTEMซึ่งขณะนี้อยู่ในบัญชีผู้ใช้และกลุ่มผู้ดูแลระบบ(Administrators)

สิทธิ์เหล่านี้มักจะมาจาก โฟลเดอร์ C:\Users\Usernameบนฮาร์ดไดรฟ์ของคุณ คุณสามารถเข้าถึงการอนุญาตเหล่านี้ได้โดยคลิกขวาที่ไฟล์หรือโฟลเดอร์(file or folder)เลือกPropertiesจากนั้นคลิกที่แท็บSecurity หากต้องการแก้ไขการอนุญาตสำหรับผู้ใช้รายใดรายหนึ่ง ให้คลิกที่ผู้ใช้นั้นแล้วคลิกปุ่มแก้ไข(Edit)

สิทธิ์ของ windows

โปรดทราบว่าหากการอนุญาตเป็นสีเทา เช่นเดียวกับในตัวอย่างข้างต้น สิทธิ์นั้นจะถูกสืบทอดมาจากโฟลเดอร์ที่มีอยู่ ฉันจะพูดถึงวิธีลบการอนุญาตที่สืบทอดมาด้านล่าง แต่ก่อนอื่น เรามาทำความเข้าใจการอนุญาตประเภทต่างๆ กันก่อน

ประเภทการอนุญาต

โดย ทั่วไปมีการอนุญาตหกประเภทใน Windows: Full Control , Modify , Read & Execute , List Folder Contents , ReadและWrite รายการเนื้อหาของโฟลเดอร์(List Folder Contents)เป็นสิทธิ์เดียวที่มีเฉพาะในโฟลเดอร์เท่านั้น มีแอตทริบิวต์ขั้นสูงมากกว่านี้ แต่คุณไม่จำเป็นต้องกังวลเกี่ยวกับสิ่งเหล่านี้

การอนุญาตแต่ละอย่างเหล่านี้หมายความว่าอย่างไร นี่คือแผนภูมิที่ดีจากเว็บไซต์ของ Microsoft ที่แบ่งความหมายของการอนุญาตแต่ละรายการสำหรับไฟล์และสำหรับโฟลเดอร์:

สิทธิ์ของ windows ความหมาย

เมื่อคุณเข้าใจแล้วว่าการอนุญาตแต่ละรายการควบคุมอะไร มาดูการแก้ไขการอนุญาตบางรายการและตรวจดูผลลัพธ์กัน

แก้ไขสิทธิ์

ก่อนที่คุณจะสามารถแก้ไขการอนุญาตใด ๆ คุณต้องมีความเป็นเจ้าของไฟล์หรือโฟลเดอร์ (file or folder)หากเจ้าของเป็นบัญชีผู้ใช้(user account) อื่น หรือบัญชีระบบ(system account)เช่นLocal System หรือ TrustedInstaller(Local System or TrustedInstaller)คุณจะไม่สามารถแก้ไขการอนุญาตได้

อ่านโพสต์ก่อนหน้าของฉันเกี่ยวกับวิธีเป็นเจ้าของไฟล์และโฟลเดอร์ใน Windows(how to take ownership of files and folders in Windows)หากคุณไม่ได้เป็นเจ้าของในขณะนี้ ตอนนี้คุณเป็นเจ้าของแล้ว มาทำอะไรเพิ่มเติมกัน:

  1. หากคุณตั้งค่า สิทธิ์ การควบคุม( Full Control)ทั้งหมดบนโฟลเดอร์สำหรับผู้ใช้ ผู้ใช้จะสามารถลบไฟล์หรือโฟลเดอร์ย่อยใดๆ โดยไม่คำนึงถึงการอนุญาตที่กำหนดไว้สำหรับไฟล์หรือโฟลเดอร์ย่อยเหล่านั้น
  2. ตามค่าเริ่มต้น สิทธิ์จะได้รับการสืบทอด ดังนั้นหากคุณต้องการสิทธิ์แบบกำหนดเองสำหรับไฟล์หรือโฟลเดอร์ คุณต้องปิดใช้งานการสืบทอดก่อน
  3. ปฏิเสธการอนุญาตแทนที่ อนุญาต ดังนั้นให้ใช้เท่าที่จำเป็นและควรเฉพาะกับผู้ใช้เฉพาะ ไม่ใช่กลุ่ม

หากคุณคลิกขวาที่ไฟล์หรือโฟลเดอร์(file or folder)เลือกPropertiesและคลิกที่ แท็บ Securityตอนนี้เราสามารถลองแก้ไขการอนุญาตบางอย่างได้ ไปข้างหน้าและคลิก ปุ่ม แก้ไข(Edit)เพื่อเริ่มต้น

แก้ไขการอนุญาต

ณ จุดนี้ มีบางสิ่งที่คุณสามารถทำได้ ประการแรก คุณจะสังเกตเห็นว่า คอลัมน์ อนุญาต(Allow)อาจเป็นสีเทาและไม่สามารถแก้ไขได้ นี่เป็นเพราะมรดกที่ฉันพูดถึงก่อนหน้านี้

สิทธิ์สำหรับไฟล์

อย่างไรก็ตาม คุณสามารถตรวจสอบรายการในคอลัมน์ปฏิเสธ ได้ (Deny)ดังนั้น หากคุณเพียงต้องการบล็อกการเข้าถึงโฟลเดอร์สำหรับผู้ใช้หรือกลุ่มใดกลุ่มหนึ่ง(user or group)ให้คลิก ปุ่ม เพิ่ม(Add)ก่อนและเมื่อเพิ่มเข้าไปแล้ว ให้เลือก ปุ่ม ปฏิเสธ(Deny) ที่ อยู่ถัดจากการควบคุม( Full Control)ทั้งหมด

เพิ่มผู้ใช้หรือกลุ่ม

เมื่อคุณคลิก ปุ่ม เพิ่ม(Add)คุณจะต้องพิมพ์ชื่อผู้ใช้หรือชื่อกลุ่ม(user name or group name)ลงในช่อง จากนั้นคลิกตรวจสอบชื่อ( Check Names)เพื่อให้แน่ใจว่าถูกต้อง หากคุณจำชื่อผู้ใช้หรือชื่อกลุ่ม(user or group name) ไม่ได้ ให้คลิกปุ่มขั้นสูง(Advanced button)จากนั้นคลิกค้นหา(Find Now)ทันที มันจะแสดงให้คุณเห็นผู้ใช้และกลุ่มทั้งหมด

ค้นหากลุ่มผู้ใช้ทั้งหมด

คลิกตกลง(Click OK)และผู้ใช้หรือกลุ่ม(user or group)จะถูกเพิ่มในรายการควบคุมการ(access control list)เข้าถึง ตอนนี้คุณสามารถตรวจสอบ คอลัมน์ อนุญาต(Allow)หรือ คอลัมน์ ปฏิเสธ(Deny)ได้ ดังที่ได้กล่าวมาแล้ว ให้ลองใช้Denyเฉพาะผู้ใช้แทนกลุ่ม

ปฏิเสธการอนุญาต windows

จะเกิดอะไรขึ้นหากเราพยายามลบผู้ใช้หรือกลุ่ม(user or group)ออกจากรายการ คุณสามารถลบผู้ใช้ที่คุณเพิ่งเพิ่มได้อย่างง่ายดาย แต่ถ้าคุณพยายามลบรายการใด ๆ ที่มีอยู่แล้ว คุณจะได้รับ ข้อความแสดงข้อ ผิดพลาด(error message)

ลบสิทธิ์ไม่ได้

ในการปิดใช้งานการสืบทอด คุณต้องกลับไปที่แท็บความปลอดภัย(Security tab) หลัก สำหรับไฟล์หรือโฟลเดอร์(file or folder)แล้วคลิก ปุ่ม ขั้นสูง(Advanced)ที่ด้านล่าง

สิทธิ์ขั้นสูง

ในWindows 7คุณจะมีแท็บพิเศษอีกหนึ่งแท็บสำหรับOwner ในWindows 10 พวกเขาเพิ่งย้ายไปด้านบน สุดและคุณต้องคลิกเปลี่ยน (Change)อย่างไรก็ตาม ใน Windows 7 ให้คลิกที่Change Permissionsที่ด้านล่างของแท็บแรก

เปลี่ยนการอนุญาต

ใน ไดอะล็อก Advanced Security Settingsให้ยกเลิกการเลือกช่องInclude inheritable permissions from this object's parentกล่อง

อนุญาตการอนุญาตที่สืบทอดมา

เมื่อคุณทำเช่นนั้นกล่องโต้ตอบ(dialog box) อื่น จะปรากฏขึ้นและจะถามคุณว่าคุณต้องการแปลงการอนุญาตที่สืบทอดมาเป็นการอนุญาตที่ชัดเจนหรือไม่ หรือคุณเพียงต้องการลบการอนุญาตที่สืบทอดมาทั้งหมด

สิทธิ์ที่ชัดเจน

เว้นแต่คุณจะรู้แน่ชัดว่าคุณต้องการสิทธิ์ใด ฉันขอแนะนำให้เลือกเพิ่ม(Add) (การอนุญาตอย่างชัดแจ้ง) จากนั้นจึงลบสิ่งที่คุณไม่ต้องการออกในภายหลัง โดยทั่วไป(Basically)การคลิกที่เพิ่ม(Add)จะคงสิทธิ์เดิมไว้ทั้งหมด แต่ตอนนี้จะไม่เป็นสีเทา และคุณสามารถคลิกลบ(Remove)เพื่อลบผู้ใช้หรือกลุ่ม(user or group)ใดก็ได้ การคลิกลบ(Remove)จะเป็นการเริ่มด้วยกระดานชนวนที่สะอาดตา

ในWindows 10จะดูแตกต่างออกไปเล็กน้อย หลังจากคลิกที่ ปุ่ม Advancedคุณต้องคลิกที่Disable Inheritance(Disable Inheritance)

ปิดการใช้งานมรดก

เมื่อคุณคลิกที่ปุ่มนั้น คุณจะได้รับตัวเลือกเช่นเดียวกับในWindows 7แต่จะอยู่ในรูปแบบอื่น ตัว เลือก ConvertจะเหมือนกับAdd และตัวเลือกที่ สองเหมือนกับRemove

แปลงสิทธิ์

สิ่งเดียวที่คุณต้องเข้าใจในตอนนี้คือแท็บ การ อนุญาต(Effective Permissions) ที่มีประสิทธิภาพ หรือการเข้าถึง ที่มีประสิทธิภาพ (Effective Access)ดังนั้นการอนุญาตที่มีประสิทธิภาพคืออะไร? เรามาดูตัวอย่างด้านบนกัน ฉันมีไฟล์ข้อความ(text file)และบัญชีของฉันAseemมีการควบคุม(Full Control)ทั้งหมด ตอนนี้จะเป็น อย่างไรถ้าฉันเพิ่มรายการอื่นลงในรายการเพื่อให้กลุ่มUsersถูกปฏิเสธFull Control

ปฏิเสธการควบคุมทั้งหมด

ปัญหาเดียวที่นี่คือ บัญชี Asem(Aseem)เป็นส่วนหนึ่งของกลุ่มผู้ใช้ ด้วย (Users)ดังนั้นฉันมีการควบคุม(Control) อย่างสมบูรณ์ ในการอนุญาตหนึ่งครั้งและปฏิเสธ(permission and Deny)ในอีกอันหนึ่งอันใดที่ชนะ ดังที่ฉันได้กล่าวไว้ข้างต้นDenyจะแทนที่Allow เสมอ ดังนั้นDenyจะชนะ แต่เราสามารถยืนยันสิ่งนี้ด้วยตนเองได้เช่นกัน

คลิกที่ขั้นสูง(Advanced)และไปที่แท็บ การ อนุญาต ที่มีประสิทธิภาพ (Effective Permissions) หรือการเข้าถึง ที่มีประสิทธิภาพ (or Effective Access)ในWindows 7ให้คลิกปุ่ม Select แล้วพิมพ์(Select button and type)ชื่อผู้ใช้หรือชื่อ(user or group name)กลุ่ม ในWindows 10คลิกลิงก์เลือกผู้ใช้(Select a user)

ในWindows 7เมื่อคุณเลือกผู้ใช้แล้ว ระบบจะแสดงสิทธิ์ในกล่องรายการด้านล่าง(list box below)ทันที อย่างที่คุณเห็น การอนุญาตทั้งหมดจะไม่ถูกเลือก ซึ่งสมเหตุสมผล

สิทธิ์ที่มีประสิทธิภาพ

ในWindows 10คุณต้องคลิกปุ่มดูการเข้าถึง( View effective access) ที่มีประสิทธิภาพ หลังจากเลือกผู้ใช้ คุณยังจะได้เครื่องหมาย X สีแดงที่ดีเมื่อไม่เข้าถึง และเครื่องหมายถูก(check mark) สีเขียว สำหรับการเข้าถึงที่อนุญาต ซึ่งอ่านง่ายกว่าเล็กน้อย

การเข้าถึงที่มีประสิทธิภาพ

ตอนนี้คุณก็รู้ทุกอย่างเกี่ยวกับการอนุญาตไฟล์และโฟลเดอร์ของ Windows(Windows file and folder permissions)แล้ว ต้องใช้เวลาเล่นบ้างเพื่อรับมือกับมันทั้งหมด

ประเด็นหลักที่ต้องทำความเข้าใจคือ คุณต้องเป็นเจ้าของเพื่อที่จะแก้ไขการอนุญาต และผู้ดูแลระบบคนใดก็ได้สามารถเป็นเจ้าของไฟล์และโฟลเดอร์ได้โดยไม่คำนึงถึงการอนุญาตบนวัตถุเหล่านั้น หากคุณมีคำถามใด ๆ โปรดโพสต์ความคิดเห็น สนุก!



ชนิภา ดิเรกวิทยา

About the author

ฉันเป็นช่างคอมพิวเตอร์ที่มีประสบการณ์มากกว่า 10 ปี รวมถึง 3 ปีในฐานะพนักงานสาขา員 ฉันมีประสบการณ์ทั้งในอุปกรณ์ Apple และ Android และมีทักษะพิเศษในการซ่อมและอัพเกรดคอมพิวเตอร์ ฉันยังสนุกกับการดูภาพยนตร์บนคอมพิวเตอร์และใช้ iPhone เพื่อถ่ายภาพและวิดีโอ


Related posts