21Aug

Geek School: Učení systému Windows 7 - přístup k prostředkům

click fraud protection

V této instalaci Geek School se podíváme na virtualizaci složek, SID a oprávnění, stejně jako na šifrovací souborový systém.

Ujistěte se, že jste se podívat na předchozí články této série Geek School v systému Windows 7:

  • Představujeme Jak na to Geek School
  • Aktualizace a migrace
  • Konfigurace zařízení
  • Správa disků
  • Správa aplikací
  • Správa aplikace Internet Explorer
  • Základy adresování IP
  • Networking
  • WirelessSítě
  • Brána Windows Firewall
  • Vzdálená správa
  • Vzdálený přístup
  • Monitorování, výkon a udržování systému Windows

A zůstaňte ladící po zbytek série celý týden. Virtualizace složek

Windows 7 představil pojem knihoven, který vám umožnil mít centralizovanou polohu, ze které můžete zobrazit zdroje umístěné jinde v počítači. Přesněji řečeno, funkce knihoven umožňuje přidávat složky z libovolného místa vašeho počítače do jedné ze čtyř výchozích knihoven, Dokumenty, Hudba, Videa a Obrázky, které jsou snadno dostupné z navigačního okna aplikace Průzkumník Windows.

instagram viewer

K dispozici jsou dvě důležité informace o funkci knihovny:

  • Když přidáte do knihovny složku, samotná složka se nepohybuje, spíše se vytvoří odkaz na umístění složky.
  • Chcete-li do knihoven přidat sdílenou síť, musí být k dispozici v režimu offline, ačkoli byste mohli používat práci pomocí symbolických odkazů.

Chcete-li do knihovny přidat složku, jednoduše přejděte do knihovny a klikněte na odkaz umístění.

Poté klikněte na tlačítko Přidat.

Nyní najděte složku, kterou chcete zahrnout do knihovny, a klepněte na tlačítko Zahrnout složku.

To je vše, co je k tomu.

Bezpečnostní identifikátor

Operační systém Windows používá znaky SID, které představují všechny bezpečnostní zásady. SID jsou pouze řetězce s proměnnou délkou alfanumerických znaků, které představují stroje, uživatele a skupiny. SID jsou přidávány do seznamu ACL( Access Control Lists) při každém udělení oprávnění uživatele nebo skupiny souboru nebo složky. Za scénami jsou SID uloženy stejně jako všechny ostatní datové objekty: v binárním. Když se však zobrazí systém SID v systému Windows, zobrazí se pomocí srozumitelnější syntaxe. Není časté, že v systému Windows uvidíte jakoukoli formu SID;nejběžnějším scénářem je, když někomu udělíte oprávnění k prostředku, a pak jej odstraníte. SID se pak zobrazí v seznamu ACL.Takže se podívejte na typický formát, ve kterém uvidíte SID v systému Windows.

Označení, které uvidíte, má určitou syntaxi. Níže jsou různé části SID.

  • Předpona 'S'
  • Číslo revize struktury
  • Hodnota pravomocí 48bitového identifikátoru
  • Proměnné množství hodnot 32-bitových oprávnění nebo relativních identifikátorů( RID)

Pomocí mého SID na následujícím obrázku rozdělíme různépro lepší porozumění.

Struktura SID:

'S' - První složka SID je vždy "S".To je předznačeno všem SID a je zde informovat Windows, že následuje SID.
'1' - Druhou složkou SID je číslo revize specifikace SID.Pokud by se změnila specifikace SID, poskytla by zpětnou kompatibilitu. Od Windows 7 a Server 2008 R2 je specifikace SID stále v první revizi.
'5' - Třetí část identifikátoru SID se nazývá Authority Identifier. Toto definuje, v jakém rozsahu byl SID vytvořen. Možné hodnoty pro tyto části SID mohou být:

  • 0 - Null Authority
  • 1 - Světová autorita
  • 2 - Místní úřad
  • 3 - Autorita autorů
  • 4 - Nestátní autorita
  • 5 - NT úřad

'21 ' - Čtvrtá složka je sub-autorita 1. Hodnota' 21 'se ve čtvrtém poli používá k určení toho, že následující podřízené orgány identifikují místní počítač nebo doménu.
'1206375286-251249764-2214032401' - Tito se nazývají sub-authority 2,3 a 4, resp. V našem příkladu se používá k identifikaci lokálního počítače, ale může být také identifikátorem pro doménu.
'1000' - Sub-autorita 5 je poslední součástí našeho SID a nazývá se RID( Relativní identifikátor).RID je relativní vůči každému principu zabezpečení: Vezměte prosím na vědomí, že všechny objekty definované uživatelem, které nejsou dodány společností Microsoft, budou mít RID 1000 nebo vyšší.

Zásady zabezpečení

Zásada zabezpečení je něco, co je k němu připojeno SID.Mohou to být uživatelé, počítače a dokonce i skupiny. Zásady zabezpečení mohou být lokální nebo mohou být v kontextu domény. Spravujete zásady místní bezpečnosti prostřednictvím modulu snap-in Místní uživatelé a skupiny pod správou počítače. Chcete-li se tam dostat, klikněte pravým tlačítkem na zástupce počítače v nabídce Start a zvolte správu.

Chcete-li přidat nový princip bezpečnosti uživatelů, přejděte do složky Uživatelé a klikněte pravým tlačítkem myši a zvolte Nový uživatel.

Pokud dvakrát kliknete na uživatele, můžete je přidat do skupiny zabezpečení na kartě Člen.

Chcete-li vytvořit novou skupinu zabezpečení, přejděte do složky Skupiny na pravé straně.Klikněte pravým tlačítkem na prázdné místo a vyberte možnost Nová skupina.

Oprávnění sdílení a oprávnění NTFS

V systému Windows existují dva typy oprávnění k souborům a složkám. Za prvé, existují oprávnění ke sdílení.Zadruhé existují oprávnění NTFS, které se nazývají také bezpečnostní oprávnění.Zabezpečení sdílených složek se obvykle provádí pomocí kombinace oprávnění ke sdílení a NTFS.Vzhledem k tomu, že je tomu tak, je důležité si uvědomit, že platí nejvíce omezující povolení.Pokud například oprávnění ke sdílení poskytuje oprávnění ke čtení Everyone Security, ale oprávnění NTFS umožňuje uživatelům provést změnu souboru, bude mít přednost oprávnění ke sdílení a uživatelé nebudou moci provádět změny. Když nastavíte oprávnění, LSASS( Local Security Authority) řídí přístup k prostředku. Když se přihlásíte, dostanete k němu přístupový token s identifikací SID.Při přístupu k prostředku LSASS porovnává identifikátor SID, který jste přidali do seznamu ACL( Access Control List).Pokud je identifikátor SID v seznamu ACL, určí, zda povolit nebo zamítnout přístup. Bez ohledu na to, jaké oprávnění používáte, existují rozdíly, takže se podívejme, abychom lépe porozuměli tomu, kdy bychom měli používat to, co.

Sdílení oprávnění:

  • Použije se pouze pro uživatele, kteří přistupují k prostředku prostřednictvím sítě.Neplatí, pokud se přihlásíte místně, například prostřednictvím terminálových služeb.
  • Platí pro všechny soubory a složky ve sdíleném prostředku. Chcete-li poskytnout podrobnější schéma omezení, měli byste kromě sdílených oprávnění použít oprávnění NTFS
  • Pokud máte libovolné svazky ve formátu FAT nebo FAT32, bude to pouze forma omezení, které máte k dispozici, protože oprávnění NTFS nejsouk dispozici v těchto systémech souborů.

oprávnění NTFS:

  • Jediným omezením oprávnění NTFS je to, že mohou být nastaveny pouze na svazku, který je naformátován do systému souborů NTFS
  • Pamatujte si, že oprávnění NTFS jsou kumulativní.To znamená, že efektivní oprávnění uživatele jsou výsledkem kombinace přidělených oprávnění uživatele a oprávnění všech skupin, do kterých uživatel patří.

Nové oprávnění ke sdílení

Windows 7 zakoupili novou "snadnou" techniku ​​sdílení.Možnosti se změnily z Read, Change a Full Control na Read a Read / Write. Myšlenka byla součástí celé mentality Homegroup a umožňuje snadné sdílení složky pro osoby bez počítačové gramotnosti. To se provádí prostřednictvím kontextové nabídky a sdílí se s vaší domácí skupinou snadno.

Pokud jste se chtěli podělit s někým, kdo není v domácí skupině, můžete vždy zvolit možnost "Specifické osoby. ..".Což by vyvolalo více "komplikované" dialogové okno, ve kterém byste mohli zadat uživatele nebo skupinu.

Existují pouze dvě oprávnění, jak bylo uvedeno výše. Společně nabízejí schéma ochrany pro všechny složky a soubory.

  1. Read permission je volba "vypadat, nedotýkejte se".Příjemci mohou otevřít, ale neměnit nebo smazat soubor.
  2. Čtení / zápis je volba "dělat cokoli".Příjemci mohou soubor otevřít, upravit nebo smazat.

Povolení pro staré školy

Dřívější sdílený dialog měl více možností, například možnost sdílet složku pod jiným aliasem. Umožnilo nám omezit počet současných připojení i konfigurovat ukládání do mezipaměti.Žádná z těchto funkcí není v systému Windows 7 ztracena, spíše se skrývá pod volbou "Pokročilé sdílení".Pokud klepnete pravým tlačítkem myši na složku a přejdete na její vlastnosti, můžete na kartě sdílení najít tato nastavení "Pokročilé sdílení".

Pokud klepnete na tlačítko "Rozšířené sdílení", které vyžaduje pověření místního správce, můžete nakonfigurovat všechna nastavení, která jste obeznámeni s předchozími verzemi systému Windows.

Pokud klepnete na tlačítko oprávnění, zobrazí se vám 3 nastavení, která všichni známe.

    • Read oprávnění umožňuje zobrazit a otevřít soubory a podadresáře stejně jako spouštět aplikace. Neumožňuje však žádné změny.
    • Upravit oprávnění umožňuje dělat cokoli, co dovoluje Read oprávnění, a také přidává schopnost přidávat soubory a podadresáře, odstraňovat podsložky a měnit data v souborech.
    • Úplné řízení je "dělat cokoli" klasických oprávnění, protože umožňuje provádět všechna předchozí oprávnění.Kromě toho vám dává pokročilé oprávnění NTFS, ale platí pouze pro složky NTFS

oprávnění NTFS

oprávnění NTFS umožňují velmi granulární kontrolu nad soubory a složky. Tím se říká, že množství granularity může být pro začínajícího člověka skličující.Můžete také nastavit oprávnění NTFS na základě souboru a také podle složky. Chcete-li nastavit oprávnění NTFS v souboru, měli byste pravým tlačítkem myši a přejděte na vlastnosti souboru a přejděte na kartu zabezpečení.

Chcete-li upravit oprávnění NTFS pro uživatele nebo skupinu, klepněte na tlačítko Upravit.

Jak můžete vidět, existuje spousta oprávnění NTFS, takže je rozbijeme. Nejprve se podíváme na oprávnění NTFS, která můžete nastavit v souboru.

  • Úplné řízení umožňuje číst, psát, upravovat, provádět, měnit atributy, oprávnění a převzít vlastnictví souboru.
  • Modifikace umožňuje číst, psát, upravovat, provádět a měnit atributy souboru.
  • Čtení &Spuštění vám umožní zobrazit data, atributy, vlastníka a oprávnění souboru a spustit soubor, pokud je to program.
  • Read vám umožní otevřít soubor, zobrazit jeho atributy, vlastníka a oprávnění.
  • Write vám umožní zapisovat data do souboru, přidat do souboru a přečíst nebo změnit jeho atributy.

NTFS Oprávnění pro složky mají mírně odlišné možnosti, takže se na ně můžete podívat.

  • Full Control vám umožní číst, psát, upravovat a spouštět soubory ve složce, měnit atributy, oprávnění a převzít vlastnictví složky nebo souborů uvnitř.
  • Modifikace vám umožní číst, psát, upravovat a spouštět soubory ve složce a měnit atributy složky nebo souborů v rámci.
  • Čtení &Execute vám umožní zobrazit obsah složky a zobrazit data, atributy, vlastník a oprávnění pro soubory ve složce a spustit soubory ve složce.
  • Seznam složek obsahu vám umožní zobrazit obsah složky a zobrazit data, atributy, vlastník a oprávnění pro soubory ve složce a spustit soubory ve složce
  • Read vám umožní zobrazit data, atributy,vlastník a oprávnění.
  • Write vám umožní zapisovat data do souboru, připojit k souboru a číst nebo změnit jeho atributy.

Shrnutí

Souhrnně, uživatelská jména a skupiny jsou reprezentace alfanumerického řetězce s názvem SID( Security Identifier).Sdílení a oprávnění NTFS jsou svázány s těmito SID.Sdílení oprávnění kontroluje společnost LSSAS pouze v případě, že je přístupná prostřednictvím sítě, zatímco oprávnění systému souborů NTFS jsou kombinována s oprávněními ke sdílení, která umožňují podrobnější úroveň zabezpečení zdrojů přístupných po síti i místně.

Přístup ke sdílenému zdroji

Nyní, když jsme se dozvěděli o dvou metodách, které můžeme použít ke sdílení obsahu na našich počítačích, jakým způsobem se k němu přistupujete v síti? Je to velmi jednoduché.Do navigačního panelu zadejte následující.

\\ název_počítače \ sdílené jméno

Poznámka: Je zřejmé, že budete muset nahradit jméno počítače název počítače, který host sdílí a sdílí název názvu sdílené položky.

To je skvělé pro jednorázové připojení, ale co ve větším firemním prostředí?Určitě nemusíte své uživatele učit, jak se pomocí této metody připojit k síťovému prostředku. Chcete-li to obejít, budete chtít mapovat síťovou jednotku pro každého uživatele. Tímto způsobem můžete poradit je, aby ukládali své dokumenty na jednotku "H", než aby se pokoušeli vysvětlit, jak se připojit ke sdílené síti. Chcete-li namapovat jednotku, otevřete počítač a klepněte na tlačítko "síťová síťová jednotka".

Poté jednoduše zadejte cestu UNC sdílení.

Vaše pravděpodobné přemýšlení, zda to musíte udělat na každém PC, a naštěstí odpověď je ne. Spíše můžete napsat dávkový skript pro automatické mapování jednotek pro uživatele při přihlašování a nasazení prostřednictvím zásad skupiny.

Pokud rozbijeme příkaz:

  • Pomocí příkazu čistého použití mapujeme jednotku.
  • * používáme k označení toho, že chceme použít další dostupné písmeno jednotky.
  • Konečně specifikuje sdílení , na které chceme mapovat jednotku. Všimněte si, že jsme použili citace, protože cesta UNC obsahuje mezery.

Šifrování souborů pomocí systému šifrovacích souborů

Systém Windows obsahuje možnost šifrování souborů na svazku NTFS.To znamená, že pouze ty dokážeš dešifrovat soubory a zobrazit je. Chcete-li zašifrovat soubor, jednoduše klikněte na něj a v kontextové nabídce vyberte vlastnosti.

Potom klikněte na pokročilé.

Zaškrtněte políčko Zašifrovat obsah do zabezpečených dat a potom klepněte na tlačítko OK.

Nyní pokračujte a použijte nastavení.

Potřebujete šifrovat pouze soubor, ale máte také možnost šifrování nadřazené složky.

Vezměte na vědomí, že jakmile je soubor zašifrován, změní se na zelenou.

Nyní zjistíte, že pouze soubor budete moci otevřít a ostatní uživatelé na jednom počítači nebudou moci. Proces šifrování používá šifrování veřejného klíče, takže šifrovací klíče udržujte v bezpečí.Pokud je ztratíte, váš soubor je pryč a není možné jej obnovit.

Domácí úkol

  • Informace o dědičném oprávnění a efektivní oprávnění.
  • Přečtěte si tento dokument společnosti Microsoft.
  • Zjistěte, proč chcete používat BranchCache.
  • Naučte se sdílet tiskárny a proč byste chtěli.