21Aug

Geek Iskola: Windows 7 oktatás - Resource Access

click fraud protection

A Geek Iskola iskolai telepítésénél megnézzük a mappa virtualizációját, a SID-eket és a jogosultságokat, valamint a titkosítási fájlrendszert.

A Windows 7-es Geek Iskola előző cikkei:

  • A How-To Geek Iskola bemutatása
  • Frissítések és migrációk
  • Eszközök konfigurálása
  • Lemezek kezelése
  • Alkalmazások kezelése
  • Az Internet Explorer kezelése
  • Az IP címzés alapjai
  • Hálózat
  • Vezeték nélküliHálózat
  • Windows tűzfal
  • Távfelügyelet
  • Távoli hozzáférés
  • A monitorozás, a teljesítmény és a Windows naprakész állapotának megőrzése

Ezen a héten maradjon a sorozatban.

Folder virtualizáció

A Windows 7 bevezette a könyvtárak fogalmát, amelyek lehetővé tették, hogy egy központi helyet biztosítsanak, ahonnan a számítógépen máshol található erőforrásokat láthatták. Konkrétabban a könyvtárak funkció lehetővé tette, hogy a számítógépen található bármelyik mappából a négy alapértelmezett könyvtár, a Dokumentumok, a Zene, a Videók és a Képek egyikéhez hozzáadhasson mappákat, amelyek könnyen hozzáférhetők a Windows Intéző navigációs ablakából.

instagram viewer

A könyvtár funkcióval kapcsolatban két fontos dolog szükséges:

  • Ha mappát ad hozzá egy könyvtárhoz, maga a mappa nem mozog, hanem egy linket hoz létre a mappához.
  • Ha hálózati megosztást szeretne hozzáadni a könyvtárakhoz, elérhetőnek kell lennie offline állapotban, bár szimbolikus hivatkozások használatával is használhatja a munkát.

Ha egy mappát szeretne hozzáadni egy könyvtárhoz, egyszerűen csak menjen a könyvtárba, és kattintson a helyek linkjére.

Ezután kattintson a Hozzáadás gombra.

Most keresse meg a könyvtárba beilleszteni kívánt mappát, és kattintson a Mappa beillesztése gombra.

Ez minden, ami ott van.

A biztonsági azonosító

A Windows operációs rendszer az SID-eket használja az összes biztonsági alapelv bemutatására. A SID-ek csak olyan változó hosszúságú alfanumerikus karakterláncok, amelyek gépeket, felhasználókat és csoportokat képviselnek. A SID-ek az ACL-ekhez( Access Control Lists) kerülnek minden egyes alkalommal, amikor egy felhasználónak vagy egy csoportnak engedélyezi a fájlt vagy mappát. A jelenetek mögött a SID-ek ugyanúgy tárolódnak, mint az összes többi adatobjektum: binárisan. Ha azonban Windows-ban egy SID-t lát, az olvashatóbb szintaxissal fog megjelenni. Nem gyakran látja a SID bármely formáját a Windows rendszerben;a leggyakoribb forgatókönyv az, amikor valaki engedélyt ad az erőforrásnak, majd törölje felhasználói fiókját. A SID ezután megjelenik az ACL-ben.Így nézze meg a tipikus formátumot, amelyen a SID-eket látja Windows alatt.

A jelzés, amelyet látni fog, egy bizonyos szintaxist. Az alábbiakban megtalálhatóak a SID különböző részei.

  • "S" előtag
  • 48-bites azonosító jogosultság értéke
  • 32 bites alközponti vagy relatív azonosító( RID) értékek változó száma

Az alábbi képen a SID használatával feloszthatjuk a különbözőszakaszokat a jobb megértés érdekében.

A SID struktúra:

'S' - Az SID első komponense mindig 'S'.Ez minden SID-hez tartozik, és ott tájékoztatják a Windows-ot, hogy az alábbiak egy SID.
'1' - Az SID második összetevője a SID specifikáció revíziószáma. Ha a SID-specifikáció megváltoztatná, hátrányosan kompatibilis lenne. A Windows 7 és a Server 2008 R2 esetében a SID specifikáció még mindig az első változat.
'5' - Az SID harmadik részét az azonosító hatóságnak hívják. Ez meghatározza, hogy a SID milyen tartományban jött létre. A SID ezen szakaszainak lehetséges értékei a következők lehetnek:

  • 0 - érvénytelen hatóság
  • 1 - nemzetközi hatóság
  • 2 - helyi hatóság
  • 3 - alkotói hatóság
  • 4 - nem egyedi hatóság
  • 5 - NT hatóság

'21' - A negyedik komponens 1. alpontja. A negyedik mezőben a "21" értéket használjuk annak meghatározására, hogy a későbbi hatóságok a helyi gépet vagy a tartományot azonosítsák.
'1206375286-251249764-2214032401' - Ezek a 2.3. És a 4. alrendeletek. Példánkban ez a helyi gép azonosítására szolgál, de lehet egy Domain azonosítója is.
'1000' - Az 5-ös al-hatóság az SID-ben a legutolsó összetevő, és az úgynevezett RID( Relative Identifier).A RID mindegyik biztonsági alapelvhez viszonyítva: kérjük, vegye figyelembe, hogy a felhasználó által definiált, a Microsoft által nem szállított objektumok 1000 vagy annál nagyobb RID értékkel rendelkeznek.

Biztonsági alapelvek

A biztonsági alapelv minden, amihez SID kapcsolódik. Ezek lehetnek felhasználók, számítógépek és akár csoportok. A biztonsági alapelvek lehetnek helyiek vagy a tartományi környezetben lehetnek. A Helyi felhasználók és csoportok beépülő modul segítségével kezelheti a helyi biztonsági alapelveket a számítógépes kezelés alatt. Ahhoz, hogy odaérjünk, jobb gombbal kattintsunk a számítógép parancsikonjára a start menüben, és válasszuk a menüt.

Egy új felhasználói biztonság elvének hozzáadásához lépjen a Users mappába, és kattintson jobb gombbal, és válassza az Új felhasználó lehetőséget.

Ha duplán kattint a felhasználóra, felveheti azokat a Biztonsági csoportba a Tagok lapon.

Új biztonsági csoport létrehozásához keresse meg a jobb oldali Groups mappát. Kattintson a jobb gombbal a fehér helyre, és válassza az Új csoport lehetőséget.

Megosztási jogosultságok és NTFS engedélyek

A Windows-ban kétféle fájl- és mappaengedély létezik. Először is vannak a Megosztási jogosultságok. Másodszor léteznek NTFS jogosultságok, amelyeket biztonsági jogosultságoknak is neveznek. A megosztott mappák biztosítása általában a Share és NTFS jogosultságok kombinációjával történik. Mivel ez a helyzet, fontos megjegyezni, hogy a legszigorúbb engedély mindig érvényes. Ha például a megosztási engedély megadja a Mindenki biztonsági elvet az olvasási engedélyt, de az NTFS engedély lehetővé teszi a felhasználóknak, hogy változtassanak a fájlon, a megosztási engedély elsőbbséget élvez, és a felhasználóknak nem szabad változtatni. Az engedélyek beállításakor az LSASS( Helyi Biztonsági Hatóság) vezérli az erőforráshoz való hozzáférést. Amikor bejelentkezik, hozzáférési azonosítót kap a SID azonosítóval. Amikor meglátogatja az erőforrás elérését, az LSASS összehasonlítja az ACL-hez( Access Control List) hozzáadott SID-kódot. Ha a SID az ACL-n van, meghatározza, hogy engedélyezi vagy megtagadja-e a hozzáférést. Nem számít, milyen engedélyeket használsz, vannak különbségek, ezért nézzük meg, hogy jobban megértsük, mikor kell használni.

Megosztási jogosultságok:

  • Csak azokra a felhasználókra vonatkoznak, akik hozzáférnek az erőforráshoz a hálózaton keresztül. Nem érvényesek, ha helyi bejelentkezést végeznek, például terminálszolgáltatásokon keresztül.
  • A megosztott erőforrások összes fájljára és mappájára vonatkozik. Ha nagyobb részletességű korlátozási sémát szeretne megadni, akkor az NTFS engedélyt kell használni az
  • megosztott jogosultságok mellett. Ha bármilyen FAT vagy FAT32 formátumú kötet található, ez lesz az egyetlen korlátozás az Ön számára, mivel az NTFS-engedélyek nemelérhető ezeken a fájlrendszereken.

NTFS engedélyek:

  • Az NTFS engedélyek egyetlen korlátozása az, hogy csak az NTFS fájlrendszerre formázott kötetre állíthatók be
  • Ne feledje, hogy az NTFS engedélyek halmozottak. Ez azt jelenti, hogy a felhasználó tényleges jogosultságai a felhasználó hozzárendelt jogosultságainak és a felhasználói csoporthoz tartozó jogosultságok egyesítésének az eredménye.

Az új megosztási jogosultságok

A Windows 7 új "könnyű" megosztási technikával vásárolt. Az opciók az Olvasás, a Módosítás és a Teljes vezérlés, valamint az Olvasás és az Olvasás / Írás megváltoztatásával változnakAz ötlet része volt az egész Homegroup mentalitásnak és megkönnyíti a nem számítógéptudású emberek számára egy mappa megosztását. Ez a helyi menüből történik, és könnyedén osztozik az otthoni csoporttal.

Ha meg akart osztani valakivel, aki nem az otthoni csoportban van, mindig választhatja a "Specifikus emberek. .." opciót. Amely egy "bonyolultabb" párbeszédet hozna létre, ahol megadhat egy felhasználót vagy egy csoportot.

Az előzőekben említetteknek csak két engedélye létezik. Együtt, mindegyik vagy semmi védelmi rendszert kínálnak a mappák és fájlok számára.

  1. Olvassa el az engedélyt a "look, do not touch" opció.A címzett megnyithatja, de nem módosítja vagy törli a fájlt.
  2. Az olvasása / írása a "mindent megtesz" lehetőség. A címzett megnyithatja, módosíthatja vagy törölheti a fájlt.

Az Old School engedélye

A régi megosztás párbeszédablak több lehetőséget is tartalmazott, például a másik álnév alatt történő megosztására vonatkozó lehetőséget. Ez lehetővé tette számunkra az egyidejű kapcsolatok számának korlátozását, valamint a gyorsítótár beállítását. A Windows 7-ben ez a funkció nem veszíti el a funkciót, hanem az "Advanced Sharing"( Halálesetmegosztás) opciót rejtve. Ha jobb egérgombbal kattintunk egy mappára, és meglátogatjuk annak tulajdonságait, megtalálhatjuk ezeket a "Haladó megosztás" beállításokat a megosztási lapon.

Ha a "Helyi megosztás" gombra kattint, amelyhez helyi rendszergazdai hitelesítő adatokra van szükség, beállíthatja a Windows korábbi verzióiban ismerős beállításokat.

Ha rákattint az engedélyek gombra, megjelenik a 3 beállítás, amelyekkel mindannyian ismerjük.

    • Az engedély lehetővé teszi a fájlok és alkönyvtárak megtekintését és megnyitását, valamint az alkalmazások futtatását. Ez azonban nem teszi lehetővé a változtatásokat.
    • Az engedély módosítása lehetővé teszi az engedélyének engedélyezését, valamint a fájlok és alkönyvtárak hozzáadásának képességét, az almappák törlését és a fájlok adatainak megváltoztatását.
    • Teljes vezérlés Az a klasszikus engedélyek "mindent megtesz", mivel lehetővé teszi az előző engedélyek bármelyikét. Ezenkívül megadja a fejlett NTFS engedélyt, de ez csak az NTFS mappákra érvényes.

Az NTFS engedélyek

Az NTFS engedélyek lehetővé teszik a fájlok és mappák nagyon szemcsés vezérlését. Ezzel azt mondhatjuk, hogy a granularitás mennyisége ijesztő lehet egy újonnan érkezettnek. NTFS engedélyt is megadhat fájlok alapján, valamint mappánként. Az NTFS-fájl engedélyezéséhez kattintson a jobb gombbal a fájl tulajdonságaira, majd lépjen a biztonsági lapra.

Egy felhasználó vagy csoport NTFS jogosultságainak szerkesztéséhez kattintson a szerkesztés gombra.

Amint látja, elég sok NTFS jogosultság van, ezért töröljük le őket. Először megnézzük azokat a NTFS-jogosultságokat, amelyeket beállíthatunk egy fájlban.

  • Teljes vezérlés Az lehetővé teszi a fájlok olvasását, írását, módosítását, végrehajtását, módosítását, engedélyezését és átvételét.
  • Az módosítása lehetővé teszi a fájl attribútumainak olvasását, írását, módosítását, végrehajtását és módosítását.
  • Read &Az végrehajtása lehetővé teszi, hogy megjelenítse a fájl adatait, attribútumait, tulajdonosait és engedélyeit, és futtassa a fájlt, ha ez egy program.
  • Az olvasás lehetővé teszi a fájl megnyitását, attribútumainak, tulajdonosainak és engedélyeinek megtekintését.
  • Write lehetővé teszi, hogy adatokat írjon a fájlra, csatoljon a fájlhoz, és olvassa el vagy változtassa meg az attribútumait.

NTFS A mappákhoz tartozó jogosultságok kissé eltérőek, ezért megtekintheti őket.

  • Full Control lehetővé teszi, hogy olvassa el, írja, módosítsa és végrehajtson fájlokat a mappában, módosítsa az attribútumokat, engedélyeket és átveszi a tulajdonjogot a mappában vagy a fájlokban.
  • Az módosítása lehetővé teszi a mappában található fájlok olvasását, írását, módosítását és végrehajtását, valamint a mappák vagy fájlok attribútumainak megváltoztatását.
  • Read &Az végrehajtása lehetővé teszi a mappa tartalmának megjelenítését és a fájlon belüli fájlok, attribútumok, tulajdonosok és jogosultságok megjelenítését, valamint a fájlok mappán belüli futtatását.
  • Mappa mappájának tartalma Az lehetővé teszi a mappa tartalmának megjelenítését és a fájlon belüli fájlok, attribútumok, tulajdonosok és jogosultságok megjelenítését, valamint fájlok futtatását az
  • Read mappában, lehetővé téve a fájl adatainak, attribútumainak,tulajdonosa és engedélyei.
  • Write lehetővé teszi, hogy adatokat írjon a fájlra, csatoljon hozzá a fájlhoz, és olvassa el vagy változtassa meg az attribútumait.

Összefoglaló

Összefoglalva, a felhasználónevek és a csoportok egy alfanumerikus karakterláncot ábrázolnak, amelyet SID-nek( Security Identifier) ​​neveznek. A megosztás és az NTFS engedélyek ezekhez a SID-ekhez vannak kötve. A jogosultságok megosztását az LSSAS csak akkor ellenőrzi, ha a hálózaton keresztül érkezik, míg az NTFS-engedélyeket a Megosztási jogosultságokkal kombinálják, hogy lehetővé tegyék a hálózaton és a helyi hálózaton keresztül elérhető erőforrások nagyobb mértékű biztonságát.

Hozzáférés egy megosztott erőforráshoz

Tehát most, hogy megtudtuk a két módszer használatát, hogy tartalmakat oszthatunk meg számítógépeinken, hogyan járul hozzá a hálózaton keresztül történő eléréshez? Nagyon egyszerű.Csak írja be az alábbiakat a navigációs sávba.

\\ számítógépnév \ megosztás

Megjegyzés: Nyilvánvalóan meg kell változtatnod a számítógépnév nevét, amely a megosztás és megosztás tárhelyét tartalmazza a megosztás nevéhez.

Ez nagyszerű a kapcsolatok kikapcsolásakor, de mi van a nagyobb vállalati környezetben? Biztosan nem kell megtanítanod a felhasználóknak, hogyan kell kapcsolódni egy hálózati erőforráshoz ehhez a módszerhez. Ennek elérése érdekében minden felhasználónak hálózati meghajtót kell elhelyeznie, így tanácsot adhat arra, hogy tárolja a dokumentumokat a "H" meghajtón, és ne próbálja meg elmagyarázni, hogyan csatlakozhat egy megosztáshoz. Meghúzni egy meghajtót, nyissa meg a Számítógép elemet, és kattintson a "Térképhálózati meghajtó" gombra.

Ezután írja be a megosztás UNC elérési útját.

Valószínűleg kíváncsi, hogy mindenkinek szüksége van-e erre, és szerencsére a válasz nem. Inkább egy kötegelt szkriptet írhat be, amely automatikusan azonosítja a meghajtókat a felhasználóknak a bejelentkezéskor, és telepíti azt csoportházirenden keresztül.

Ha lefejtjük a parancsot:

  • Az nettó használatú parancsot használjuk a meghajtó leképezésére.
  • Az * használatával jelezzük, hogy a következő rendelkezésre álló meghajtóbetűjelet szeretnénk használni.
  • Végül meg kell adni az megosztást, amelyre a meghajtót szeretnénk leképezni. Figyeljük meg, hogy idézőjeleket használtunk, mert az UNC-útvonal tartalmaz szóközöket.

Fájlok titkosítása a titkosítási fájlrendszer használatával

A Windows lehetővé teszi az NTFS-fájlok titkosítását. Ez azt jelenti, hogy csak akkor tudja dekódolni a fájlokat, és megtekintheti őket. Egy fájl titkosításához egyszerűen kattintson rá a jobb egérgombbal, és válassza ki a tulajdonságokat a helyi menüből.

Ezután kattintson a haladó gombra.

Most ellenőrizze a Tartalom titkosítása az adatok biztonságossá tételéhez jelölőnégyzetet, majd kattintson az OK gombra.

Most menj előre, és alkalmazza a beállításokat.

Csak a fájlt kell titkosítani, de lehetősége van a szülõdoboz titkosítására is.

Vegye figyelembe, hogy ha a fájl titkosított, akkor zöld lesz.

Most észreveszi, hogy csak akkor tudja megnyitni a fájlt, és más felhasználók ugyanazon a számítógépen nem lesznek képesek. A titkosítási folyamat nyilvános kulcs titkosítást igényel, ezért tartsa titkosítási kulcsát. Ha elveszíted, a fájlod elment, és nincs módja annak helyreállítására.

Házi feladat

  • Tudjon meg többet az engedélyek örökléséről és a tényleges engedélyekről.
  • Olvassa el ezt a Microsoft dokumentumot.
  • Ismerje meg, miért szeretné használni a BranchCache alkalmazást.
  • Ismerje meg, hogyan oszthatja meg a nyomtatókat és miért szeretné.