Geek School: Læring Windows 7 - Ressourceadgang

I denne installation af Geek School tager vi et kig på Folder Virtualization, SIDs og Tilladelse, såvel som Encrypting File System.

Sørg for at tjekke de tidligere artikler i denne Geek School-serie på Windows 7:

• Introduktion til How-To Geek School
• Opgraderinger og -vandringer
• Konfiguration af enheder
• Styring af diske
• Håndtering af applikationer
• Håndtering af Internet Explorer
• IP-adresseringsgrundlag
• Netværk
• TrådløsNetværk
• Windows Firewall
• Fjernadministration
• Remote Access
• Overvågning, ydeevne og holde Windows opdateret

Og hold dig indstillet til resten af ​​serien hele denne uge.

Folder Virtualisering

Windows 7 introducerede begrebet biblioteker, som tillod dig at have en centraliseret placering, hvorfra du kunne se ressourcer placeret andre steder på din computer. Mere specifikt gav bibliotekets funktion dig mulighed for at tilføje mapper fra hvor som helst på din computer til en af ​​fire standardbiblioteker, Dokumenter, Musik, Videoer og Billeder, som er let tilgængelige fra navigationsruden i Windows Stifinder.

Der er to vigtige ting at notere om bibliotekets funktion:

• Når du tilføjer en mappe til et bibliotek, flyttes mappen ikke, men der oprettes et link til mappens placering.
• For at tilføje en netværksandel til dine biblioteker skal den være tilgængelig offline, men du kan også bruge et arbejde rundt ved hjælp af symbolske links.

Hvis du vil tilføje en mappe til et bibliotek, skal du blot gå ind i biblioteket og klikke på placeringslinket.

Klik derefter på knappen Tilføj.

Find nu den mappe, du vil medtage i biblioteket, og klik på knappen Inkluder mappe.

Det er alt der er til det.

Sikkerhedsidentifikatoren

Windows operativsystemet bruger SID'er til at repræsentere alle sikkerhedsprincipper. SID'er er kun strenge med variabel længde med alfanumeriske tegn, der repræsenterer maskiner, brugere og grupper. SID'er tilføjes til ACL'er( Access Control Lists), hver gang du giver en bruger eller gruppe tilladelse til en fil eller mappe. Bag kulisserne gemmes SID'er på samme måde som alle andre dataobjekter er: i binære. Men når du ser et SID i Windows, vises det med en mere læsbar syntaks. Det er ikke ofte, at du vil se nogen form for SID i Windows;Det mest almindelige scenario er, når du giver en tilladelse til en ressource, og slet derefter deres brugerkonto. SID'en vil så dukke op i ACL.Så lad os se på det typiske format, hvor du vil se SID'er i Windows.

Notationen, som du vil se, tager en vis syntaks. Nedenfor er de forskellige dele af et SID.

• Et 'S'-præfiks
• Strukturrevisionsnummer
• En 48-bit identifikationsmyndighedsværdi
• Et variabelt antal 32-biters undermyndighed eller relative identifikationsværdier( RID) værdier

Ved hjælp af mit SID i billedet nedenfor vil vi opdele de forskelligesektioner for at få en bedre forståelse.

SID-strukturen:

'S' - Den første komponent i et SID er altid en 'S'.Dette er prefixed til alle SID'er og er der for at oplyse Windows om, at det følgende er et SID.
'1' - Den anden komponent i et SID er revisionsnummeret til SID-specifikationen. Hvis SID-specifikationen skulle ændres, ville den give kompatibilitet bagud. I Windows 7 og Server 2008 R2 er SID-specifikationen stadig i den første revision.
'5' - Den tredje sektion af et SID hedder identifikationsmyndigheden. Dette definerer i hvilket omfang SID'en blev genereret. Mulige værdier for disse sektioner af SID kan være:

• 0 - Null Authority
• 1 - Verdensmyndighed
• 2 - Lokal myndighed
• 3 - Skabsmyndighed
• 4 - Ikke-unik myndighed
• 5 - NT Authority

5

'21' - Den fjerde komponent er undermyndighed 1. Værdien '21' bruges i det fjerde felt for at angive, at de undermyndigheder, der følger, identificerer den lokale maskine eller domænet.
'1206375286-251249764-2214032401' - Disse kaldes undermyndighed 2,3 og 4 henholdsvis. I vores eksempel bruges dette til at identificere den lokale maskine, men det kan også være identifikatoren for et domæne.
'1000' - Undermyndighed 5 er den sidste komponent i vores SID og kaldes RID( Relative Identifier).RID er i forhold til hvert sikkerhedsprincip: Bemærk, at alle brugerdefinerede objekter, dem, der ikke afsendes af Microsoft, vil have et RID på 1000 eller derover.

Sikkerhedsprincipper

Et sikkerhedsprincip er noget, der har et SID knyttet til det. Disse kan være brugere, computere og lige grupper. Sikkerhedsprincipper kan være lokale eller være i domæne sammenhæng. Du håndterer lokale sikkerhedsprincipper gennem lokalindstillingerne for brugere og grupper under computerstyring. For at komme derhen skal du højreklikke på computerens genvej i startmenuen og vælge at administrere.

Hvis du vil tilføje et nyt brugersikkerhedsprincip, kan du gå til mappen Brugere og højreklikke og vælge Ny bruger.

Hvis du dobbeltklikker på en bruger, kan du tilføje dem til en sikkerhedsgruppe på fanen Medlem af.

For at oprette en ny sikkerhedsgruppe skal du navigere til mappen Grupper på højre side. Højreklik på det hvide mellemrum og vælg Ny gruppe.

Del tilladelser og NTFS-tilladelse

I Windows findes der to typer fil- og mappefunktioner. For det første er der en del tilladelser. For det andet er der NTFS-tilladelser, der også kaldes sikkerhedsrettigheder. Sikring af delte mapper sker normalt med en kombination af Share og NTFS-tilladelser. Da det er tilfældet, er det vigtigt at huske, at den mest restriktive tilladelse altid gælder. Hvis f.eks. Tilladelsen til deling giver alle sikkerhedsprincipper læsningstilladelse, men NTFS-tilladelsen tillader brugere at foretage en ændring af filen, har deletilladelsen forrang, og brugerne har ikke lov til at foretage ændringer. Når du indstiller tilladelserne, kontrollerer LSASS( Local Security Authority) adgang til ressourcen. Når du logger på, får du et adgangstoken med dit SID på det. Når du går for at få adgang til ressourcen, sammenligner LSASS det SID, du tilføjede til ACL( Access Control List).Hvis SID'en er på ACL, bestemmer den, om adgangen skal tillades eller nægtes. Uanset hvilke tilladelser du bruger, er der forskelle, så lad os tage et kig for at få en bedre forståelse af, hvornår vi skal bruge hvad.

Del Tilladelser:

• Gælder kun for brugere, der har adgang til ressourcen via netværket. De gælder ikke, hvis du logger ind lokalt, f.eks. Via terminaltjenester.
• Den gælder for alle filer og mapper i den delte ressource. Hvis du vil give en mere granuleret form for begrænsning, skal du bruge NTFS-tilladelse ud over delte tilladelser
• Hvis du har formaterede FAT- eller FAT32-volumener, er dette den eneste form for begrænsning, der er tilgængelig for dig, da NTFS-tilladelser ikke ertilgængelig på disse filsystemer.

NTFS-tilladelser:

• Den eneste begrænsning for NTFS-tilladelser er, at de kun kan indstilles på et volumen, der er formateret til NTFS-filsystemet
• Husk at NTFS-tilladelser er kumulative. Det betyder, at en brugers effektive tilladelser er resultatet af at kombinere brugerens tildelte tilladelser og tilladelserne til alle grupper brugeren tilhører.

Den nye del tilladelser

Windows 7 købt sammen med en ny "let" delteknik. Indstillingerne ændret fra Læs, Skift og Fuld kontrol til Læs og Læs / Skriv. Ideen var en del af hele homegroup mentaliteten og gør det nemt at dele en mappe til ikke-computer literate mennesker. Dette gøres via kontekstmenuen og deler nemt med din hjemmegruppe.

Hvis du ønskede at dele med en person, der ikke er hjemme i gruppen, kan du altid vælge indstillingen "Specifikke mennesker".Hvilket ville skabe en mere "uddybet" dialog, hvor du kunne angive en bruger eller en gruppe.

Der er kun to tilladelser, som tidligere nævnt. Sammen tilbyder de et helt eller intet beskyttelsesprogram til dine mapper og filer.

1. Læs -tilladelsen er "look, touch ikke".Modtagere kan åbne, men ikke ændre eller slette en fil.
2. Læs / skriv er "gør noget" mulighed. Modtagere kan åbne, ændre eller slette en fil.

Den gamle skole tilladelse

Den gamle delingsdialog havde flere muligheder, såsom muligheden for at dele mappen under et andet alias. Det tillod os at begrænse antallet af samtidige forbindelser samt konfigurere caching. Ingen af ​​denne funktionalitet er tabt i Windows 7, men er snarere gemt under en mulighed kaldet "Advanced Sharing".Hvis du højreklikker på en mappe og går til dens egenskaber, kan du finde disse indstillinger "Avanceret deling" under fanen deling.

Hvis du klikker på knappen "Advanced Sharing", som kræver lokale administratoroplysninger, kan du konfigurere alle de indstillinger, du var bekendt med i tidligere versioner af Windows.

Hvis du klikker på tilladelsesknappen, bliver du præsenteret for de 3 indstillinger, som vi alle er bekendt med.

• Læs -tilladelse giver dig mulighed for at se og åbne filer og undermapper samt udføre programmer. Det tillader dog ikke, at der foretages ændringer.
• Ændring af -tilladelse giver dig mulighed for at gøre alt, hvad Læs -tilladelse tillader, og det giver også mulighed for at tilføje filer og undermapper, slette undermapper og ændre data i filerne.
• Full Control er "gør noget" af de klassiske tilladelser, da det giver dig mulighed for at gøre alle de tidligere tilladelser. Derudover giver den dig den avancerede skiftende NTFS-tilladelse, men dette gælder kun for NTFS-mapper

NTFS-tilladelser

NTFS-tilladelser giver mulighed for meget granulær kontrol over dine filer og mapper. Med det sagt kan mængden af ​​granularitet være skræmmende for en nykommer. Du kan også indstille NTFS-tilladelse pr. Filbasis samt per mappe. Hvis du vil indstille NTFS-tilladelse til en fil, skal du højreklikke og gå til filens egenskaber og derefter gå til fanen Sikkerhed.

Hvis du vil redigere NTFS-tilladelserne for en bruger eller gruppe, skal du klikke på redigeringsknappen.

Som du måske ser, er der en hel del NTFS-tilladelser, så lad os bryde dem ned. For det første vil vi se på de NTFS-tilladelser, som du kan indstille på en fil.

• Full Control giver dig mulighed for at læse, skrive, ændre, udføre, ændre attributter, tilladelser og tage ejerskab af filen.
• Ændre giver dig mulighed for at læse, skrive, ændre, udføre og ændre filens attributter.
• Læs &Udfør vil give dig mulighed for at vise filens data, attributter, ejer og tilladelser og køre filen, hvis det er et program.
• Læs giver dig mulighed for at åbne filen, se dens attributter, ejer og tilladelser.
• Skriv giver dig mulighed for at skrive data til filen, tilføje filen og læse eller ændre dens attributter.

NTFS Tilladelser til mapper har lidt forskellige muligheder, så lad os se på dem.

• Full Control giver dig mulighed for at læse, skrive, ændre og udføre filer i mappen, ændre attributter, tilladelser og tage ejerskab af mappen eller filerne indenfor.
• Modificer vil tillade dig at læse, skrive, ændre og udføre filer i mappen og ændre attributter af mappen eller filerne indenfor.
• Læs &Udfør giver dig mulighed for at vise mappens indhold og vise data, attributter, ejer og tilladelser til filer i mappen og køre filer i mappen.
• Liste Folder Indhold giver dig mulighed for at vise mappens indhold og vise data, attributter, ejer og tilladelser til filer i mappen og køre filer i mappen
• Læs vil give dig mulighed for at vise filens data, attributter,ejer og tilladelser.
• Skriv giver dig mulighed for at skrive data til filen, tilføje filen og læse eller ændre dens attributter.

Sammendrag

Sammenfattende er brugernavne og grupper repræsentationer af en alfanumerisk streng kaldet et SID( sikkerhedsidentifikator).Del og NTFS Tilladelser er bundet til disse SID'er. Del tilladelser kontrolleres kun af LSSAS, når de åbnes via netværket, mens NTFS-tilladelser kombineres med del tilladelser, så der sikres et mere granuleret sikkerhedsniveau, så ressourcer kan nås via netværket såvel som lokalt.

Adgang til en delt ressource

Så nu hvor vi har lært om de to metoder, vi kan bruge til at dele indhold på vores pc'er, hvordan går det faktisk med at få adgang til det via netværket? Det er meget enkelt. Indtast blot følgende i navigationslinjen.

\\ computernavn \ sharename

Bemærk: Du skal selvfølgelig erstatte computernavn for navnet på pc'en, der er vært for share- og sharename for navnet på aktien.

Dette er fantastisk til engang af forbindelser, men hvad med et større virksomhedsklima? Du skal sikkert ikke lære dine brugere, hvordan du opretter forbindelse til en netværksressource ved hjælp af denne metode. For at omgå dette, vil du gerne kortlægge et netværksdrev til hver bruger, på denne måde kan du rådgive dem til at gemme deres dokumenter på "H" -drevet, snarere end at forsøge at forklare, hvordan man forbinder til en del. For at kortlægge et drev skal du åbne Computer og klikke på knappen "Map network drive".

Indtast simpelthen UNC-stien til aktien.

Du spekulerer sikkert nok på, om du skal gøre det på enhver pc, og heldigvis er svaret nej. I stedet kan du skrive et batch script til automatisk at kortlægge drevene til dine brugere ved logon og implementere det via Gruppepolitik.

Hvis vi dissekerer kommandoen:

• Vi bruger netbrug kommandoen til at kortlægge drevet.
• Vi bruger * til at angive, at vi vil bruge det næste tilgængelige drevbogstav.
• Endelig angiver vi den andel vi ønsker at kortlægge drevet til. Bemærk, at vi brugte citater, fordi UNC-stien indeholder mellemrum.

Kryptering af filer ved hjælp af krypteringsfilsystemet

Windows indeholder evnen til at kryptere filer på et NTFS-volumen. Det betyder, at kun du vil kunne dekryptere filerne og se dem. For at kryptere en fil skal du blot højreklikke på den og vælge egenskaber fra kontekstmenuen.

Klik derefter på avanceret.

Kontroller nu afkrydsningsfeltet Krypter indhold for at sikre data, og klik derefter på OK.

Gå nu og anvend indstillingerne.

Vi behøver kun at kryptere filen, men du har også mulighed for at kryptere overordnet mappe også.

Bemærk, at når filen er krypteret, bliver den grøn.

Du vil nu bemærke, at du kun vil kunne åbne filen, og at andre brugere på samme pc ikke vil kunne. Krypteringsprocessen bruger offentlig nøgle kryptering, så hold dine krypteringsnøgler sikre. Hvis du mister dem, er din fil væk, og der er ingen mulighed for at genoprette den.

Hjemmearbejde

• Lær om tilladelse arv og effektive tilladelser.
• Læs dette Microsoft-dokument.
• Lær hvorfor du vil bruge BranchCache.
• Lær, hvordan du deler printere og hvorfor du vil.