21Aug

Geek School: Lernen von Windows 7 - Ressourcenzugriff

click fraud protection

In dieser Installation von Geek School werfen wir einen Blick auf Ordnervirtualisierung, SIDs und Berechtigungen sowie das verschlüsselnde Dateisystem.

Lesen Sie sich die vorherigen Artikel in dieser Geek School-Serie unter Windows 7 durch:

  • Einführung in die Geek-Schule
  • Upgrades und Migrationen
  • Konfigurieren von Geräten
  • Verwalten von Festplatten
  • Verwalten von Anwendungen
  • Verwalten von Internet Explorer
  • IP-Adressierungsgrundlagen
  • Networking
  • WirelessNetzwerk
  • Windows-Firewall
  • Remote-Verwaltung
  • Remote-Zugriff
  • Überwachung, Leistung und Pflege Windows auf dem neuesten Stand

Und bleiben Sie dran für den Rest der Serie diese Woche.

Ordnervirtualisierung

Windows 7 führte den Begriff der Bibliotheken ein, mit denen Sie einen zentralen Speicherort haben, von dem aus Sie Ressourcen an anderer Stelle auf Ihrem Computer anzeigen können. Mit der Bibliotheksfunktion konnten Sie Ordner von einem beliebigen Ort auf Ihrem Computer zu einer von vier Standardbibliotheken hinzufügen: Dokumente, Musik, Videos und Bilder, die über den Navigationsbereich von Windows Explorer leicht zugänglich sind.

instagram viewer

Es gibt zwei wichtige Punkte, die bei der Bibliotheksfunktion beachtet werden müssen:

  • Wenn Sie einen Ordner zu einer Bibliothek hinzufügen, wird der Ordner nicht verschoben, stattdessen wird eine Verknüpfung zum Speicherort des Ordners erstellt.
  • Um Ihren Bibliotheken eine Netzwerkfreigabe hinzuzufügen, muss diese offline verfügbar sein. Sie können jedoch auch eine Umgehung mit symbolischen Links verwenden.

Um einen Ordner zu einer Bibliothek hinzuzufügen, gehen Sie einfach in die Bibliothek und klicken Sie auf den Link Standorte.

Klicken Sie dann auf die Schaltfläche Hinzufügen.

Suchen Sie jetzt den Ordner, den Sie in die Bibliothek aufnehmen möchten, und klicken Sie auf die Schaltfläche Ordner einschließen.

Das ist alles, was dazu gehört.

Die Sicherheitskennung

Das Windows-Betriebssystem verwendet SIDs zur Darstellung aller Sicherheitsprinzipien. SIDs sind nur Zeichenfolgen variabler Länge aus alphanumerischen Zeichen, die Maschinen, Benutzer und Gruppen darstellen. SIDs werden ACLs( Zugriffssteuerungslisten) jedes Mal hinzugefügt, wenn Sie einer Datei oder einem Ordner eine Benutzer- oder Gruppenberechtigung erteilen. Hinter den Kulissen werden SIDs genauso gespeichert wie alle anderen Datenobjekte: binär. Wenn Sie jedoch eine SID in Windows sehen, wird sie mit einer besser lesbaren Syntax angezeigt. Es ist nicht oft, dass Sie irgendeine Form von SID in Windows sehen werden;Das häufigste Szenario ist, wenn Sie einer Ressource eine Berechtigung erteilen und anschließend ihr Benutzerkonto löschen. Die SID wird dann in der ACL angezeigt. Sehen wir uns also das typische Format an, in dem SIDs in Windows angezeigt werden.

Die Notation, die Sie sehen werden, nimmt eine bestimmte Syntax an. Im Folgenden sind die verschiedenen Teile einer SID aufgeführt.

  • Ein 'S'-Präfix
  • Strukturrevisionsnummer
  • Ein 48-Bit-Bezeichner-Berechtigungswert
  • Eine variable Anzahl von 32-Bit-Unterbevollmächtigungs- oder relativen Bezeichner-( RID) -Werten

Unter Verwendung meiner SID im folgenden Bild werden die verschiedenen aufgelöstAbschnitte, um ein besseres Verständnis zu bekommen.

Die SID-Struktur:

'S' - Die erste Komponente einer SID ist immer ein 'S'.Dies wird allen SIDs vorangestellt und dient dazu, Windows mitzuteilen, dass es sich bei dem Folgenden um eine SID handelt.
'1' - Die zweite Komponente einer SID ist die Revisionsnummer der SID-Spezifikation. Wenn sich die SID-Spezifikation ändern sollte, würde sie Abwärtskompatibilität bieten. Ab Windows 7 und Server 2008 R2 befindet sich die SID-Spezifikation noch in der ersten Revision.
'5' - Der dritte Abschnitt einer SID wird als Identifier Authority bezeichnet. Dies definiert, in welchem ​​Umfang die SID generiert wurde. Mögliche Werte für diese Abschnitte der SID können sein:

  • 0 - Nulle Authority
  • 1 - World Authority
  • 2 - Lokale Behörde
  • 3 - Creator Authority
  • 4 - Nicht eindeutige Autorität
  • 5 - NT Authority

'21' - Die vierte Komponente ist Unterbehörde 1. Der Wert '21' wird im vierten Feld verwendet, um anzugeben, dass die folgenden Unterbehörden die lokale Maschine oder die Domäne identifizieren.
'1206375286-251249764-2214032401' - Diese werden als Unterbehörde 2,3 bzw. 4 bezeichnet. In unserem Beispiel wird dies zur Identifizierung des lokalen Rechners verwendet, könnte aber auch der Identifikator für eine Domain sein.
'1000' - Unterbehörde 5 ist die letzte Komponente in unserer SID und heißt RID( Relative Identifier).Die RID ist relativ zu jedem Sicherheitsprinzip: Bitte beachten Sie, dass alle benutzerdefinierten Objekte, die nicht von Microsoft geliefert werden, eine RID von 1000 oder höher haben.

Sicherheitsprinzipien

Ein Sicherheitsprinzip ist alles, an das eine SID angehängt ist. Dies können Benutzer, Computer und sogar Gruppen sein. Sicherheitsprinzipien können lokal oder im Domänenkontext sein. Sie verwalten lokale Sicherheitsprinzipien über das Snap-In Lokale Benutzer und Gruppen unter Computerverwaltung. Um dorthin zu gelangen, klicken Sie mit der rechten Maustaste auf die Verknüpfung im Startmenü und wählen Sie Verwalten.

Um ein neues Benutzersicherheitsprinzip hinzuzufügen, können Sie zum Ordner "Benutzer" wechseln und mit der rechten Maustaste klicken und "Neuer Benutzer" wählen.

Wenn Sie auf einen Benutzer doppelklicken, können Sie ihn einer Sicherheitsgruppe auf der Registerkarte Mitglied von hinzufügen.

Um eine neue Sicherheitsgruppe zu erstellen, navigieren Sie zum Gruppenordner auf der rechten Seite. Klicken Sie mit der rechten Maustaste auf den Leerraum und wählen Sie Neue Gruppe.

Freigabeberechtigungen und NTFS-Berechtigung

In Windows gibt es zwei Arten von Datei- und Ordnerberechtigungen. Zum einen gibt es die Share Permissions. Zweitens gibt es NTFS-Berechtigungen, die auch als Sicherheitsberechtigungen bezeichnet werden. Das Sichern von freigegebenen Ordnern erfolgt normalerweise mit einer Kombination aus Freigabe- und NTFS-Berechtigungen. Da dies der Fall ist, ist es wichtig zu beachten, dass immer die restriktivste Berechtigung gilt. Wenn die Freigabeberechtigung zum Beispiel die Leseberechtigung "Jeder Benutzer" erteilt, die NTFS-Berechtigung es Benutzern jedoch erlaubt, Änderungen an der Datei vorzunehmen, hat die Freigabeberechtigung Vorrang, und die Benutzer dürfen keine Änderungen vornehmen. Wenn Sie die Berechtigungen festlegen, steuert die LSASS( Local Security Authority) den Zugriff auf die Ressource. Wenn Sie sich anmelden, erhalten Sie ein Zugriffs-Token mit Ihrer SID.Wenn Sie auf die Ressource zugreifen, vergleicht LSASS die SID, die Sie der ACL( Access Control List) hinzugefügt haben. Wenn sich die SID in der ACL befindet, bestimmt sie, ob der Zugriff zugelassen oder verweigert werden soll. Ganz gleich, welche Berechtigungen Sie verwenden, es gibt Unterschiede. Sehen wir uns einmal genauer an, wann wir was verwenden sollen.

Freigabeberechtigungen:

  • Nur für Benutzer, die über das Netzwerk auf die Ressource zugreifen. Sie gelten nicht, wenn Sie sich lokal anmelden, z. B. über Terminaldienste.
  • Es gilt für alle Dateien und Ordner in der freigegebenen Ressource. Wenn Sie eine genauere Art von Einschränkungsschema bereitstellen möchten, sollten Sie NTFS-Berechtigung zusätzlich zu freigegebenen Berechtigungen verwenden.
  • Wenn Sie über FAT- oder FAT32-formatierte Datenträger verfügen, ist dies die einzige Ihnen zur Verfügung stehende Einschränkung, wie dies bei NTFS-Berechtigungen nicht der Fall istverfügbar auf diesen Dateisystemen.

NTFS-Berechtigungen:

  • Die einzige Einschränkung für NTFS-Berechtigungen besteht darin, dass sie nur auf einem Volume festgelegt werden können, das im NTFS-Dateisystem
  • formatiert ist. Denken Sie daran, dass NTFS-Berechtigungen kumulativ sind. Das bedeutet, dass die effektiven Berechtigungen eines Benutzers das Ergebnis der Kombination der zugewiesenen Berechtigungen des Benutzers und der Berechtigungen von Gruppen sind, denen der Benutzer angehört.

Die neuen Share-Berechtigungen

Windows 7 hat eine neue "easy" Share-Technik erworben. Die Optionen wurden von Lesen, Ändern und Vollzugriff in Lesen und Lesen / Schreiben geändert. Die Idee war Teil der gesamten Homegroup-Mentalität und macht es einfach, einen Ordner für nicht computerkundige Menschen zu teilen. Dies geschieht über das Kontextmenü und ermöglicht die einfache Freigabe Ihrer Homegroup.

Wenn Sie mit jemandem teilen möchten, der nicht in der Hausgruppe ist, können Sie immer die Option "Bestimmte Personen. .." auswählen. Das würde einen "ausgefeilteren" Dialog ergeben, in dem Sie einen Benutzer oder eine Gruppe angeben könnten.

Es gibt nur zwei Berechtigungen, wie bereits erwähnt. Zusammen bieten sie ein Alles-oder-Nichts-Schutzschema für Ihre Ordner und Dateien.

  1. Lesen Erlaubnis ist die "Aussehen, nicht berühren" -Option. Empfänger können eine Datei öffnen, aber nicht ändern oder löschen.
  2. Lesen / Schreiben ist die Option "alles tun".Empfänger können eine Datei öffnen, ändern oder löschen.

Die Oldschool-Berechtigung

Der alte Freigabe-Dialog hatte mehr Optionen, z. B. die Option, den Ordner unter einem anderen Alias ​​freizugeben. Dadurch konnten wir die Anzahl gleichzeitiger Verbindungen begrenzen und das Caching konfigurieren. Keine dieser Funktionen geht in Windows 7 verloren, sondern ist unter der Option "Erweiterte Freigabe" verborgen. Wenn Sie mit der rechten Maustaste auf einen Ordner klicken und zu dessen Eigenschaften navigieren, finden Sie diese "Erweiterte Freigabe" -Einstellungen auf der Registerkarte "Freigabe".

Wenn Sie auf die Schaltfläche "Erweiterte Freigabe" klicken, für die lokale Administratoranmeldeinformationen erforderlich sind, können Sie alle Einstellungen konfigurieren, die Ihnen in früheren Windows-Versionen bekannt waren.

Wenn Sie auf die Schaltfläche "Berechtigungen" klicken, werden Ihnen die drei Einstellungen angezeigt, die uns allen vertraut sind.

    • Mit der Berechtigung lesen können Sie Dateien und Unterverzeichnisse anzeigen und öffnen sowie Anwendungen ausführen. Es können jedoch keine Änderungen vorgenommen werden.
    • Mit der Berechtigung " modifizieren" können Sie alles tun, was die Berechtigung Read erlaubt. Außerdem können Sie Dateien und Unterverzeichnisse hinzufügen, Unterordner löschen und Daten in den Dateien ändern.
    • Vollzugriff ist das "alles" der klassischen Berechtigungen, da es Ihnen ermöglicht, alle vorherigen Berechtigungen zu nutzen. Darüber hinaus gibt es Ihnen die erweiterte Änderung NTFS-Berechtigung, aber dies gilt nur für NTFS-Ordner

NTFS-Berechtigungen

NTFS-Berechtigungen ermöglichen eine sehr genaue Kontrolle über Ihre Dateien und Ordner. Damit kann die Granularität für einen Neuling entmutigend sein. Sie können die NTFS-Berechtigung auch pro Datei und pro Ordner festlegen. Um die NTFS-Berechtigung für eine Datei festzulegen, klicken Sie mit der rechten Maustaste und gehen Sie zu den Eigenschaften der Datei. Wechseln Sie dann zur Registerkarte Sicherheit.

Um die NTFS-Berechtigungen für einen Benutzer oder eine Gruppe zu bearbeiten, klicken Sie auf die Schaltfläche Bearbeiten.

Wie Sie vielleicht sehen, gibt es eine ganze Reihe von NTFS-Berechtigungen, also lasst uns sie zusammenbrechen. Zuerst sehen wir uns die NTFS-Berechtigungen an, die Sie für eine Datei festlegen können.

  • Vollzugriff ermöglicht Ihnen das Lesen, Schreiben, Ändern, Ausführen, Ändern von Attributen, Berechtigungen und Besitz der Datei.
  • Ändern ermöglicht das Lesen, Schreiben, Ändern, Ausführen und Ändern der Dateiattribute.
  • Lesen &Mit können Sie die Daten, Attribute, Eigentümer und Berechtigungen der Datei anzeigen und die Datei ausführen, wenn es sich um ein Programm handelt.
  • Mit können Sie die Datei öffnen, ihre Attribute, Eigentümer und Berechtigungen anzeigen.
  • Write ermöglicht es Ihnen, Daten in die Datei zu schreiben, an die Datei anzuhängen und deren Attribute zu lesen oder zu ändern.

NTFS Berechtigungen für Ordner haben etwas andere Optionen, also schauen wir uns diese an.

  • Vollzugriff ermöglicht Ihnen das Lesen, Schreiben, Ändern und Ausführen von Dateien im Ordner, Ändern von Attributen, Berechtigungen und Übernahme der Eigentümerschaft für den Ordner oder die Dateien darin.
  • Modify ermöglicht das Lesen, Schreiben, Ändern und Ausführen von Dateien im Ordner und das Ändern der Attribute des Ordners oder der darin enthaltenen Dateien.
  • Lesen &Mit können Sie den Inhalt des Ordners anzeigen und die Daten, Attribute, Eigentümer und Berechtigungen für Dateien innerhalb des Ordners anzeigen und Dateien innerhalb des Ordners ausführen.
  • Inhalt des Listenordners Mit können Sie den Inhalt des Ordners anzeigen und die Daten, Attribute, Eigentümer und Berechtigungen für Dateien innerhalb des Ordners anzeigen und Dateien im Ordner
  • ausführen. Mit können Sie die Daten, Attribute, Besitzer und Berechtigungen.
  • Write ermöglicht es Ihnen, Daten in die Datei zu schreiben, an die Datei anzuhängen und deren Attribute zu lesen oder zu ändern.

Zusammenfassung

Zusammenfassend sind Benutzernamen und Gruppen Darstellungen einer alphanumerischen Zeichenfolge namens SID( Security Identifier).Freigabe- und NTFS-Berechtigungen sind an diese SIDs gebunden. Freigabeberechtigungen werden vom LSSAS nur beim Zugriff über das Netzwerk überprüft, während NTFS-Berechtigungen mit Freigabeberechtigungen kombiniert werden, um eine granularere Sicherheitsstufe für Ressourcen zu ermöglichen, auf die sowohl über das Netzwerk als auch lokal zugegriffen wird.

Zugriff auf eine gemeinsam genutzte Ressource

Nachdem wir nun die beiden Methoden kennen gelernt haben, mit denen wir Inhalte auf unseren PCs teilen können, wie gehen Sie eigentlich über das Netzwerk darauf zu? Es ist sehr einfach. Geben Sie Folgendes in die Navigationsleiste ein.

\\ Computername \ Freigabename

Hinweis: Offensichtlich müssen Sie den Computernamen durch den Namen des PC ersetzen, der die Freigabe und den Freigabenamen für den Namen der Freigabe hostet.

Das ist großartig für einmalige Verbindungen, aber was ist mit einer größeren Unternehmensumgebung? Sicherlich müssen Sie Ihren Benutzern nicht beibringen, wie sie mit dieser Methode eine Verbindung zu einer Netzwerkressource herstellen. Um dies zu umgehen, sollten Sie jedem Benutzer ein Netzlaufwerk zuordnen. Auf diese Weise können Sie sie auffordern, ihre Dokumente auf dem Laufwerk "H" zu speichern, anstatt zu erklären, wie eine Verbindung zu einer Freigabe hergestellt wird. Um ein Laufwerk zuzuordnen, öffnen Sie den Computer und klicken Sie auf die Schaltfläche "Netzwerklaufwerk zuordnen".

Geben Sie einfach den UNC-Pfad der Freigabe ein.

Sie fragen sich wahrscheinlich, ob Sie das auf jedem PC machen müssen, und zum Glück ist die Antwort nein. Stattdessen können Sie ein Stapelscript schreiben, um die Laufwerke für Ihre Benutzer bei der Anmeldung automatisch zuzuordnen und über Gruppenrichtlinien bereitzustellen.

Wenn wir den Befehl sezieren:

  • Wir verwenden den Befehl net uses , um das Laufwerk zuzuordnen.
  • Wir verwenden den * , um anzuzeigen, dass wir den nächsten verfügbaren Laufwerksbuchstaben verwenden möchten.
  • Schließlich geben wir die Freigabe an, der wir das Laufwerk zuordnen möchten. Beachten Sie, dass wir Anführungszeichen verwendet haben, weil der UNC-Pfad Leerzeichen enthält.

Verschlüsseln von Dateien mit dem verschlüsselnden Dateisystem

Windows bietet die Möglichkeit, Dateien auf einem NTFS-Volume zu verschlüsseln. Dies bedeutet, dass nur Sie die Dateien entschlüsseln und anzeigen können. Um eine Datei zu verschlüsseln, klicken Sie einfach mit der rechten Maustaste darauf und wählen Sie Eigenschaften aus dem Kontextmenü.

Klicken Sie dann auf Erweitert.

Aktivieren Sie nun das Kontrollkästchen Inhalt verschlüsseln, um Daten zu schützen, und klicken Sie dann auf OK.

Jetzt gehen Sie voran und wenden Sie die Einstellungen an.

Wir müssen nur die Datei verschlüsseln, aber Sie haben auch die Möglichkeit, den übergeordneten Ordner zu verschlüsseln.

Beachten Sie, dass die Datei nach der Verschlüsselung grün wird.

Sie werden jetzt feststellen, dass nur Sie in der Lage sind, die Datei zu öffnen, und dass andere Benutzer auf demselben PC nicht in der Lage sind. Der Verschlüsselungsprozess verwendet die Verschlüsselung mit öffentlichem Schlüssel, also bewahren Sie Ihre Verschlüsselungsschlüssel sicher auf. Wenn Sie sie verlieren, ist Ihre Datei weg und es gibt keine Möglichkeit, sie wiederherzustellen.

Hausaufgaben

  • Erfahren Sie mehr über Vererbung von Berechtigungen und effektive Berechtigungen.
  • Lesen Sie dieses Microsoft-Dokument.
  • Erfahren Sie, warum Sie BranchCache verwenden möchten.
  • Erfahren Sie, wie Sie Drucker freigeben und warum Sie dies wünschen.