7Jul

So verstehen Sie diese verwirrenden Windows 7-Datei- / Freigabeberechtigungen

click fraud protection

Haben Sie jemals versucht, alle Berechtigungen in Windows herauszufinden? Es gibt Freigabeberechtigungen, NTFS-Berechtigungen, Zugriffssteuerungslisten und mehr. So arbeiten sie alle zusammen.

Die Sicherheitskennung

Die Windows-Betriebssysteme verwenden SIDs zur Darstellung aller Sicherheitsprinzipien. SIDs sind nur Zeichenfolgen variabler Länge aus alphanumerischen Zeichen, die Maschinen, Benutzer und Gruppen darstellen. SIDs werden ACLs( Zugriffssteuerungslisten) jedes Mal hinzugefügt, wenn Sie einer Datei oder einem Ordner eine Benutzer- oder Gruppenberechtigung erteilen. Hinter der Szene werden SIDs in der gleichen Weise wie alle anderen Datenobjekte in binärer Form gespeichert. Wenn Sie jedoch eine SID in Windows sehen, wird sie mit einer besser lesbaren Syntax angezeigt. Es ist nicht oft, dass Sie irgendeine Form von SID in Windows sehen, das häufigste Szenario ist, wenn Sie einer Ressource eine Berechtigung erteilen, dann wird ihr Benutzerkonto gelöscht und es wird dann als SID in der ACL angezeigt. Sehen wir uns also das typische Format an, in dem SIDs in Windows angezeigt werden.

instagram viewer

Die Notation, die Sie sehen werden, nimmt eine bestimmte Syntax an. Im Folgenden sind die verschiedenen Teile einer SID in dieser Notation aufgeführt.

  1. Ein S-Präfix
  2. Strukturrevisionsnummer
  3. Ein 48-Bit-Bezeichner-Berechtigungswert
  4. Eine variable Anzahl von 32-Bit-Unterbevollmächtigungs- oder relativen Bezeichnerwerten( RID)

Unter Verwendung meiner SID im folgenden Bild werden die verschiedenen aufgelöstAbschnitte, um ein besseres Verständnis zu bekommen.

Die SID-Struktur:

'S' - Die erste Komponente einer SID ist immer ein 'S'.Dies wird allen SIDs vorangestellt und dient dazu, Windows mitzuteilen, dass es sich bei dem Folgenden um eine SID handelt.
'1' - Die zweite Komponente einer SID ist die Revisionsnummer der SID-Spezifikation. Wenn die SID-Spezifikation geändert werden sollte, würde sie Abwärtskompatibilität bieten. Ab Windows 7 und Server 2008 R2 befindet sich die SID-Spezifikation noch in der ersten Revision.
'5' - Der dritte Abschnitt einer SID wird als Identifier Authority bezeichnet. Dies definiert, in welchem ​​Umfang die SID generiert wurde. Mögliche Werte für diese Abschnitte der SID können sein:

  1. 0 - Nulle Authority
  2. 1 - Weltbehörde
  3. 2 - Lokale Behörde
  4. 3 - Erstellerberechtigung
  5. 4 - Nicht eindeutige Autorität
  6. 5-NT-Behörde

'21' - TheDie vierte Komponente ist Unterbehörde 1, der Wert "21" wird im vierten Feld verwendet, um anzugeben, dass die folgenden Unterbehörden die lokale Maschine oder die Domäne identifizieren.
'1206375286-251249764-2214032401' - Diese werden Unterbehörde 2,3 bzw. 4 genannt. In unserem Beispiel wird dies zur Identifizierung des lokalen Rechners verwendet, könnte aber auch der Identifikator für eine Domain sein.
'1000' - Unterbehörde 5 ist die letzte Komponente in unserer SID und heißt RID( Relative Identifier), die RID ist relativ zu jedem Sicherheitsprinzip, bitte beachten Sie, dass alle benutzerdefinierten Objekte, die nicht versendet werdenvon Microsoft wird eine RID von 1000 oder höher haben.

Sicherheitsprinzipien

Ein Sicherheitsprinzip ist alles, an das eine SID angehängt ist. Dies können Benutzer, Computer und sogar Gruppen sein. Sicherheitsprinzipien können lokal oder im Domänenkontext sein. Sie verwalten lokale Sicherheitsprinzipien über das Snap-In Lokale Benutzer und Gruppen unter Computerverwaltung. Um dorthin zu gelangen, klicken Sie mit der rechten Maustaste auf die Verknüpfung im Startmenü und wählen Sie Verwalten.

Um ein neues Benutzersicherheitsprinzip hinzuzufügen, können Sie zum Benutzerordner gehen und mit der rechten Maustaste klicken und einen neuen Benutzer auswählen.

Wenn Sie auf einen Benutzer doppelklicken, können Sie ihn einer Sicherheitsgruppe auf der Registerkarte Mitglied von hinzufügen.

Um eine neue Sicherheitsgruppe zu erstellen, navigieren Sie zum Gruppenordner auf der rechten Seite. Klicken Sie mit der rechten Maustaste auf den Leerraum und wählen Sie eine neue Gruppe aus.

Freigabeberechtigungen und NTFS-Berechtigung

In Windows gibt es zwei Arten von Datei- und Ordnerberechtigungen, erstens gibt es die Freigabeberechtigungen und zweitens gibt es NTFS-Berechtigungen, die auch als Sicherheitsberechtigungen bezeichnet werden. Beachten Sie, dass die Gruppe "Jeder" die Leseberechtigung erhält, wenn Sie einen Ordner standardmäßig freigeben. Die Sicherheit für Ordner wird normalerweise mit einer Kombination aus Freigabe- und NTFS-Berechtigung ausgeführt. Wenn dies der Fall ist, muss unbedingt daran gedacht werden, dass immer die restriktivste gilt, z. B. wenn die Freigabeberechtigung auf Jeder = Lesen gesetzt ist( Standardeinstellung).Mit der NTFS-Berechtigung können Benutzer jedoch Änderungen an der Datei vornehmen. Die Freigabeberechtigung wird bevorzugt und die Benutzer dürfen keine Änderungen vornehmen. Wenn Sie die Berechtigungen festlegen, steuert die LSASS( Local Security Authority) den Zugriff auf die Ressource. Wenn Sie sich anmelden, erhalten Sie ein Zugriffs-Token mit Ihrer SID. Wenn Sie auf die Ressource zugreifen, vergleicht LSASS die SID, die Sie der ACL( Access Control List) hinzugefügt haben, und bestimmt, ob die SID in der ACL istZugriff gewähren oder verweigernEgal, welche Berechtigungen Sie verwenden, es gibt Unterschiede, also schauen wir uns ein besseres Verständnis an, wann wir was verwenden sollen.

Share Permissions:

  1. Nur für Benutzer, die über das Netzwerk auf die Ressource zugreifen. Sie gelten nicht, wenn Sie sich lokal anmelden, z. B. über Terminaldienste.
  2. Es gilt für alle Dateien und Ordner in der freigegebenen Ressource. Wenn Sie eine genauere Art von Einschränkungsschema bereitstellen möchten, sollten Sie NTFS-Berechtigung zusätzlich zu freigegebenen Berechtigungen verwenden.
  3. Wenn Sie FAT- oder FAT32-formatierte Volumes haben, ist dies die einzige Ihnen zur Verfügung stehende Einschränkung, wie dies bei NTFS-Berechtigungen nicht der Fall istverfügbar auf diesen Dateisystemen.

NTFS-Berechtigungen:

  1. Die einzige Einschränkung für NTFS-Berechtigungen besteht darin, dass sie nur auf einem Volume mit dem NTFS-Dateisystem
  2. festgelegt werden können. Denken Sie daran, dass NTFS kumulativ sindBerechtigungen und die Berechtigungen von Gruppen, denen der Benutzer angehört.

Die neuen Share-Berechtigungen

Windows 7 hat eine neue "easy" Share-Technik erworben. Die Optionen wurden von Lesen, Ändern und Vollzugriff in geändert. Lesen und Lesen / Schreiben. Die Idee war Teil der Mentalität der Home-Gruppe und macht es leicht, einen Ordner für nicht computerkundige Menschen zu teilen. Dies geschieht über das Kontextmenü und teilt sich leicht mit Ihrer Hausgruppe.

Wenn Sie mit jemandem teilen möchten, der nicht in der Hausgruppe ist, können Sie immer die Option "Bestimmte Personen. .." auswählen. Das würde einen "ausführlicheren" Dialog auslösen. Wo könnten Sie einen bestimmten Benutzer oder eine bestimmte Gruppe angeben?

Wie bereits erwähnt, gibt es nur zwei Berechtigungen, die zusammen ein Schutzschema für alle oder nichts für Ihre Ordner und Dateien bieten.

  1. Lesen Erlaubnis ist die "Aussehen, nicht berühren" -Option. Empfänger können eine Datei öffnen, aber nicht ändern oder löschen.
  2. Lesen / Schreiben ist die Option "alles tun".Empfänger können eine Datei öffnen, ändern oder löschen.

Der Old School Way

Der alte Share-Dialog hatte mehr Optionen und gab uns die Möglichkeit, den Ordner unter einem anderen Alias ​​zu teilen. Dadurch konnten wir die Anzahl gleichzeitiger Verbindungen begrenzen und das Caching konfigurieren. Keine dieser Funktionen geht in Windows 7 verloren, sondern ist unter der Option "Erweiterte Freigabe" verborgen. Wenn Sie mit der rechten Maustaste auf einen Ordner klicken und zu dessen Eigenschaften navigieren, finden Sie diese Einstellungen unter "Erweiterte Freigabe" auf der Registerkarte "Freigabe".

Wenn Sie auf die Schaltfläche "Erweiterte Freigabe" klicken, für die lokale Administratoranmeldeinformationen erforderlich sind, können Sie alle Einstellungen konfigurieren, die Ihnen in früheren Windows-Versionen bekannt waren.

Wenn Sie auf die Schaltfläche "Berechtigungen" klicken, werden Ihnen die drei Einstellungen angezeigt, die uns allen vertraut sind.

  1. Mit der Berechtigung lesen können Sie Dateien und Unterverzeichnisse anzeigen und öffnen sowie Anwendungen ausführen. Es können jedoch keine Änderungen vorgenommen werden.
  2. Mit der Berechtigung modifizieren können Sie alles tun, was die Berechtigung lesen erlaubt. Außerdem können Sie Dateien und Unterverzeichnisse hinzufügen, Unterordner löschen und Daten in den Dateien ändern.
  3. Vollzugriff ist das "Alles" der klassischen Berechtigungen, da Sie alle vorherigen Berechtigungen nutzen können. Darüber hinaus gibt es Ihnen die erweiterte Änderung NTFS-Berechtigung, dies gilt nur für NTFS-Ordner

NTFS-Berechtigungen

NTFS-Berechtigung ermöglichen eine sehr granulare Kontrolle über Ihre Dateien und Ordner. Mit dieser Aussage kann die Granularität für einen Neuling entmutigend sein. Sie können die NTFS-Berechtigung auch pro Datei und pro Ordner festlegen. Um die NTFS-Berechtigung für eine Datei festzulegen, klicken Sie mit der rechten Maustaste und gehen Sie zu den Dateieigenschaften, in denen Sie zur Registerkarte Sicherheit gehen müssen.

Um die NTFS-Berechtigungen für einen Benutzer oder eine Gruppe zu bearbeiten, klicken Sie auf die Schaltfläche Bearbeiten.

Wie Sie vielleicht sehen, gibt es eine Menge NTFS-Berechtigungen, also lassen Sie sie auflösen. Zuerst sehen wir uns die NTFS-Berechtigungen an, die Sie für eine Datei festlegen können.

  1. Vollzugriff ermöglicht Ihnen das Lesen, Schreiben, Ändern, Ausführen, Ändern von Attributen, Berechtigungen und Besitz der Datei.
  2. Modify ermöglicht das Lesen, Schreiben, Ändern, Ausführen und Ändern der Dateiattribute.
  3. Lesen &Mit können Sie die Daten, Attribute, Eigentümer und Berechtigungen der Datei anzeigen und die Datei ausführen, wenn es sich um ein Programm handelt.
  4. lesen ermöglicht es Ihnen, die Datei zu öffnen, ihre Attribute, Eigentümer und Berechtigungen anzuzeigen.
  5. Write ermöglicht es Ihnen, Daten in die Datei zu schreiben, an die Datei anzuhängen und deren Attribute zu lesen oder zu ändern.

NTFS Berechtigungen für Ordner haben leicht unterschiedliche Optionen, also werfen wir einen Blick darauf.

  1. Vollzugriff ermöglicht Ihnen das Lesen, Schreiben, Ändern und Ausführen von Dateien im Ordner, Ändern von Attributen, Berechtigungen und Übernahme der Eigentümerschaft für den Ordner oder die Dateien darin.
  2. Modify ermöglicht das Lesen, Schreiben, Ändern und Ausführen von Dateien im Ordner und das Ändern von Attributen des Ordners oder der darin enthaltenen Dateien.
  3. Lesen & ausführen ermöglicht Ihnen, den Inhalt des Ordners anzuzeigen und die Daten, Attribute, Eigentümer und Berechtigungen für Dateien innerhalb des Ordners anzuzeigen und Dateien innerhalb des Ordners auszuführen.
  4. Inhalt des Listenordners Mit können Sie den Inhalt des Ordners anzeigen und die Daten, Attribute, Eigentümer und Berechtigungen für Dateien innerhalb des Ordners anzeigen.
  5. Mit können Sie die Daten, Attribute, Eigentümer und Berechtigungen der Datei anzeigen.
  6. Write ermöglicht es Ihnen, Daten in die Datei zu schreiben, an die Datei anzuhängen und deren Attribute zu lesen oder zu ändern.

Microsoft-Dokumentation besagt auch, dass "Ordnerinhalt auflisten" Sie Dateien innerhalb des Ordners ausführen können, aber Sie müssen noch aktivieren "lesen &Führen Sie "aus, um dies zu tun. Es ist eine sehr verwirrend dokumentierte Erlaubnis.

Zusammenfassung

Zusammenfassend sind Benutzernamen und Gruppen Darstellungen einer alphanumerischen Zeichenfolge, die als SID( Security Identifier) ​​bezeichnet wird. Freigabe- und NTFS-Berechtigungen sind an diese SIDs gebunden. Freigabeberechtigungen werden vom LSSAS nur beim Zugriff über das Netzwerk überprüft, während NTFS-Berechtigungen nur auf den lokalen Rechnern gültig sind. Ich hoffe, dass Sie alle verstehen, wie die Sicherheit von Dateien und Ordnern in Windows 7 implementiert wird. Wenn Sie Fragen haben, können Sie sich in den Kommentaren ruhig anhören.