7Jul

Kuidas mõista neid segane Windows 7 faili / jagamise õigusi

Kas olete kunagi proovinud välja selgitada kõik Windowsi õigused? Seal on õigused jagada, NTFS-i õigused, juurdepääsu kontrollnimekirjad ja palju muud. Siit leiate, kuidas need kõik koos töötavad.

Turvamärgis

Windowsi operatsioonisüsteemid kasutavad turvapõhimõtteid esindavaid SID-e. SID-id on lihtsalt muutuva pikkusega stringid tähtnumbriliste tähtedega, mis tähistavad masinaid, kasutajaid ja rühmi. SID-id lisatakse ACL-ile( juurdepääsu kontroll-loendid) iga kord, kui annate kasutaja või grupi loa failile või kausta. Stseeni taga salvestatakse SID samamoodi nagu ka kõik teised andmeobjektid binaarfailides. Kuid kui näete SID-i Windowsis, kuvatakse see paremini loetava süntaksiga. Sageli ei näe Windowsis ühtegi SID-i vormi, kõige levinum stsenaarium on see, kui annate kellelegi loa ressursile, siis nende kasutajatunnus kustutatakse, siis kuvatakse see ACL-is kui SID.Nii saate tutvuda tüüpilise vorminguga, milles näete Windowsis SID-sid.

Märkus, mida näete, võtab teatud süntaksi, allpool on selle märkuse SIDi erinevad osad.

  1. S-prefiks
  2. Struktuuri läbivaatamise number
  3. 48-bitise identifikaatori volituse väärtus
  4. Muutuja arv 32-bitise allasutuse või suhtelise identifikaatori( RID) väärtused

SID-i kasutamine alljärgnevas pildis lagundab erinevaidparemaks mõistmiseks.

SID struktuur:

'S' - SIDi esimene komponent on alati 'S'.See on kõigi SID-ide jaoks eesliide ja kas Windows teavitab, et järgmine on SID.
'1' - SID-i teine ​​komponent on SID-i spetsifikatsiooni versiooni number, kui SID-spetsifikatsioon peaks seda muutma, tagaks see tagurpidi ühilduvuse. Alates Windows 7 ja Server 2008 R2 on SID-i spetsifikatsioon endiselt esimene versioon.
'5' - SIDi kolmandat osa nimetatakse identifitseerimisasutuseks. Selles määratletakse, millises ulatuses loodi SID.SIDi selle osade võimalikud väärtused võivad olla:

  1. 0 - Null Authority
  2. 1 - Maailmameti
  3. 2 - Kohalik omavalitsus
  4. 3 - Looja asutus
  5. 4 - Mitte ainulaadne asutus
  6. 5 - NT amet

'21' -Edasine komponent on allasutuse 1, kasutatakse neljandas väljastuses väärtust "21", et määrata kindlaks järgnevad allasutused, kes tuvastavad kohaliku masina või domeeni.
'1206375286-251249764-2214032401' - Neid nimetatakse vastavalt allasutuseks 2,3 ja 4.Meie näites kasutatakse seda kohaliku masina tuvastamiseks, kuid see võib olla ka domeeni identifikaator.
'1000' - allorganisatsioon 5 on meie SIDi viimane komponent ja seda nimetatakse RID( suhteline identifikaator), RID on iga turbepõhimõtte suhtes, palun pidage silmas, et kõik kasutaja poolt määratletud objektid, mida ei saadetaMicrosofti RID on 1000 või suurem.

turvapõhimõtted

Turvalisuse põhimõte on kõik, millele on lisatud SID, need võivad olla kasutajad, arvutid ja isegi rühmad. Turvalisuse põhimõtted võivad olla kohalikud või olla valdkonna kontekstis. Kohalikud julgeolekupõhimõtted juhitakse kohalike kasutajate ja gruppide kaudu, arvutihalduse all. Selle saamiseks klõpsake paremal valikul otseteed käivitusmenüüs ja vali haldamine.

Uue kasutaja turvalisuse põhimõtte lisamiseks võite minna kasutajate kausta ja paremklõpsa ja valida uus kasutaja.

Kui te topeltklõpsate kasutajal, saate need lisada turbrupsi liikme liikmele.

Uue turbergrupi loomiseks liikuge parema käeulatuses olevale kaustale Rühmad. Paremklõps valge ruumi ja valige uus rühm.

jagamisõigused ja NTFS-i luba

Windowsis on kahesugused faili- ja kaustaõigused, esiteks jagamisõigused ja teiseks NTFS-i õigused, mida nimetatakse ka turvaõigustega. Pange tähele, et kui jagate kausta vaikimisi, antakse rühmale "Kõik" lugeja loa. Kaustade turvalisus toimub tavaliselt jagamise ja NTFS-i litsentsi kombinatsiooniga, kui see on nii, siis on oluline meeles pidada, et kõige piiravam on alati kohaldatav, näiteks kui jagamise luba on määratud Kõik isikud = Lugege( mis on vaikimisi);kuid NTFS-i luba võimaldab kasutajatel faili muuta, eelistatakse jagamisõigust ja kasutajatel ei lubata muudatusi teha. Kui määrate õigused, kontrollib LSASS( kohalik turvaasutus) juurdepääsu ressursile. Kui logite sisse, antakse teile SID-i juurde pääsukood, kui te lähete ressurssidele juurde, võrdleb LSASS SIL-i, mille te lisasite ACL-i( juurdepääsu kontrollnimekiri), ja kui SID on ACL-is, siis määrab see, kaslubada või keelata juurdepääs. Olenemata sellest, milliseid õigusi te kasutate, on erinevusi, et saaksite paremini aru saada, millal peaksime seda kasutama.

Jagamisõigused:

  1. Kohaldatakse ainult kasutajatele, kes ressursse kasutavad võrgu kaudu. Neid ei kohaldata, kui logite sisse kohapeal, näiteks terminaliteenuste kaudu.
  2. See kehtib jagatud ressursside kõigi failide ja kaustade kohta. Kui soovite anda rohkem restriktsioonikava, peate lisaks jagatud õigustele kasutama NTFS-luba.
  3. Kui teil on FAT või FAT32 vormingusmahud, on see teie jaoks ainus piirang, sest NTFS-i õigused poleneed failisüsteemid on saadaval.

NTFS Permissions:

  1. Ainus NTFS-i õiguste piirang on see, et neid saab määrata ainult NTFS-failisüsteemile
  2. vormindatud helitugevusele. Pidage meeles, et NTFS on kumulatiivne, mis tähendab, et kasutajate tegelikud õigused on kasutaja määratudõigused ja õigused mis tahes rühmadele, mille kasutaja kuulub.

New Share Permissions

Windows 7 ostis uue "lihtne" jagamise tehnika. Valikud on muudetud Read, Change ja Full Control all. Loe ja loe / kirjuta. Idee oli osa kogu Home-grupi mentaliteedist ja võimaldab hõlpsasti jagada kaustu arvutiteadlusele mittekuuluvate inimeste jaoks. Seda tehakse kontekstimenüü kaudu ja lihtsalt jagatakse oma kodurühmaga.

Kui soovite jagada kellega, kes ei ole kodurühmas, võite alati valida "Spetsiaalsed inimesed. ..".Mis aitaks välja töötada rohkem "dialoogi".Kus võiks määrata konkreetse kasutaja või rühma.

Nagu eelnevalt mainitud, on ainult kaks õigust, mis pakuvad teie kaustade ja failide jaoks kogu või midagi kaitstavat skeemi.

  1. loe loend on valik "vaata, ärge puudutage".Saajad saavad faili avada, kuid seda ei muuda ega kustuta.
  2. Read / Write on valik "teha midagi".Saajad saavad faili avada, muuta või kustutada.

Vana kooli viis

Vanal jagamise dialoogil oli rohkem võimalusi ja andis meile võimaluse jagada kaust teise aliasaga, mis võimaldas meil piirata samaaegsete ühenduste arvu ja konfigureerida vahemällu.Ükski neist funktsioonidest pole Windows 7-s kaotatud, vaid pigem on see peidetud valikul "Advanced Sharing".Kui klõpsate hiire parema nupuga kausta ja avasite selle omadused, võite selle jagamise vahekaardi jaotises "Laiendatud jagamine" seadeid leida.

Kui klõpsate nupul "Laiendatud jagamine", mis nõuab kohaliku halduri mandaati, saate konfigureerida kõik eelinstallitud Windowsi eelmise versiooniga seotud seaded.

Kui klõpsate õiguste nupule, kuvatakse teile 3-st seadet, millest me kõik oleme tuttavad.

  1. Loe -luba võimaldab teil vaadata ja avada faile ja alamkatalooge ning käivitada rakendusi. Kuid see ei luba muudatusi teha.
  2. -i muutmise loa lubamine võimaldab teil teha midagi, mida loeb luba, kuid see võimaldab lisada failid ja alamkataloogid, kustutada alamkaustu ja muuta failide andmeid.
  3. Full Control on klassikaliste lubade "teha midagi", kuna see võimaldab teil teha kõiki eelmisi õigusi. Lisaks pakub see NTFS-i täiustatud muutmist. See kehtib ainult NTFS-kaustade puhul.

NTFS-i õigused

-i NTFS-i luba võimaldab teie failide ja kaustade väga täpset kontrolli. Sellest võib öelda, et granulaarsus võib uustulnukale olla hirmutav. Samuti saate määrata NTFS-i loa nii faili kui ka iga kausta põhjal. Faili NTFS-i loa määramiseks peate paremklõpsama ja minema failide atribuutidele, kus peate turvalisuse sakile minema.

Kasutaja või grupi NTFS-i õiguste muutmiseks klõpsake redigeerimisnupul.

Nagu võite näha, on NTFS-i õigused üsna palju, nii et saate neid murda. Esmalt vaadake NTFS-i õigusi, mida saate failile määrata.

  1. Full Control võimaldab teil lugeda, kirjutada, muuta, täita, muuta atribuute, õigusi ja omandada faili.
  2. Modify võimaldab teil faili atribuute lugeda, kirjutada, muuta, käivitada ja muuta.
  3. Loe & käivitamine võimaldab kuvada faili andmeid, atribuute, omanikku ja õigusi ning käivitada fail, kui see on programm.
  4. Lugege võimaldab teil avada faili, vaadata selle atribuute, omanikku ja õigusi.
  5. kirjutamine võimaldab teil failile andmeid kirjutada, failile lisada ja lugeda või muuta atribuute.

NTFS Kataloogide õigused on veidi erinevad, nii et saate neid vaadata.

  1. Full Control võimaldab teil kataloogis faile lugeda, kirjutada, modifitseerida ja käivitada, muuta atribuute, õigusi ja omandada kausta või faile.
  2. Modify abil saate lugeda, kirjutada, muuta ja täita kaustas olevaid faile ning muuta kataloogi või failide atribuute ka.
  3. Loe & käivitamine võimaldab kuvada kausta sisu ja kuvada kaustas olevate failide andmeid, atribuute, omanikku ja õigusi ning käivitada kaustas olevad failid.
  4. loendi kausta sisu võimaldab teil kausta sisestada ja kuvada kausta failide andmeid, atribuute, omanikku ja õigusi.
  5. Read võimaldab teil kuvada faili andmeid, atribuute, omanikku ja õigusi.
  6. kirjutamine võimaldab teil failile andmeid kirjutada, failile lisada ja lugeda või muuta atribuute.

Microsofti dokumentatsioon kinnitab samuti, et "loendi kausta sisu" võimaldab teil faili kaustas käivitada, kuid see peab siiski lubama "Loe &Execute "selleks, et seda teha. See on väga segane dokumenteeritud luba.

Kokkuvõte

Kokkuvõttes on kasutajanimed ja -rühmad tähed ja numbrid, mis on kutsutud SID( Security Identifier), Share ja NTFS Permissions on seotud nende SID-idega. LSSAS kontrollib jagamisõigusi ainult võrgule ligipääsul, NTFS-i õigused kehtivad ainult kohalikes masinates. Loodan, et teil kõigil on mõistlik arusaam Windows 7 failide ja kaustade turvalisuse rakendamisest. Kui teil on küsimusi, võite kommentaarides heli välja lülitada.