21Aug
Tässä Geek-koulukokoonpanossa tarkastelemme kansio-virtualisointia, SID- ja käyttöoikeuksia sekä salaus-tiedostojärjestelmää.
Muista tarkistaa edellisiä artikkeleita tässä Geek School-sarjassa Windows 7:
- Esittelyssä How-To Geek-koulu
- Päivitykset ja muutokset
- Laitteiden määrittäminen
- Levyjen hallinta
- Sovellusten hallinta
- Internet Explorerin hallinta
- IP-osoitteen perusteet
- Verkottuminen
- LangatonVerkostoituminen
- Windowsin palomuuri
- Etähallinta
- Etäkäyttö
- Seuranta, suorituskyky ja Windows-päivitys ajan tasalla
Ja pysy kuulolla muulle sarjalle tällä viikolla.
Kansion virtualisointi
Windows 7 esitteli kirjastojen käsitteen, jonka avulla sinulla olisi keskitetty sijainti, josta voit tarkastella muualla tietokoneessa olevia resursseja. Tarkemmin sanottuna kirjastot -toiminnon avulla voit lisätä kansioita mistä tahansa tietokoneesta johonkin neljästä oletuskirjastosta, asiakirjasta, musiikista, videoista ja kuvista, jotka ovat helposti saatavilla Windowsin Resurssienhallinnassa.
Kirjaston ominaisuus on kaksi tärkeää seikkaa:
- Kun lisäät kansion kirjastoon, kansio ei itse siirry, vaan linkki luodaan kansion sijaintiin.
- Jotta voit lisätä verkkoosion kirjastoihin, sen on oltava käytettävissä offline-tilassa, mutta voit myös käyttää työtä symbolisten linkkien avulla.
Jos haluat lisätä kansion kirjastoon, pääset kirjastoon ja napsauta sijaintiyhteyttä.
Napsauta sitten Lisää-painiketta.
Etsi kansio, jonka haluat sisällyttää kirjastoon, ja napsauta Sisällytä kansio -painiketta.
Se kaikki on siinä.
Turvatunniste
Windows-käyttöjärjestelmä käyttää SID-tunnuksia kaikkien turvallisuusperiaatteiden esittämiseen. SID-tunnukset ovat vain muuttuvia pituisia aakkosnumeerisia merkkejä, jotka edustavat koneita, käyttäjiä ja ryhmiä.SID-tunnukset lisätään ACL-tiedostoihin( Access Control Lists) aina, kun annat käyttäjälle tai ryhmälle luvan tiedostoon tai kansioon. Kohtausten takana SID-tiedot tallennetaan samalla tavoin kuin kaikki muut datakohteet ovat: binaarissa. Kun kuitenkin näet SID-osoitteen Windowsissa, se näkyy luettavamman syntaksin avulla. Usein ei ole, että näet minkä tahansa SID-muodon Windowsissa;Yleisin skenaario on, kun annat jonkun resurssin luvan, ja poista sitten käyttäjätili. SID näkyy sitten ACL: ssä.Joten voit tarkastella tyypillistä muotoa, jossa näet SID-osoitteet Windowsissa.
Huomautus, jonka näet, vie tiettyä syntaksia. Alla on SID: n eri osat.
- S-etuliite
- Rakenteen uudistusnumero
- 48-bittinen tunnistevirran arvo
- Muuttuva määrä 32-bittistä aliverkkoa tai suhteellista tunnistetta( RID) koskevat arvot
SID: n avulla alla olevassa kuvassa hajotamme eriosia saadakseen paremman käsityksen.
SID-rakenne:
'S' - SID: n ensimmäinen komponentti on aina 'S'.Tämä on etusijalla kaikkiin SID-osoitteisiin ja on olemassa tietoja Windowsille, että seuraava on SID.
'1' - SID: n toinen komponentti on SID-spesifikaation tarkistusnumero. Jos SID-määrittely muuttuisi, se antaisi taaksepäin yhteensopivuuden. Windows 7: n ja Server 2008 R2: n mukaan SID-määritys on edelleen ensimmäisessä versiossa.
'5' - SID: n kolmannen osan nimi on Identifier Authority. Tämä määrittelee, missä määrin SID on luotu. Mahdolliset arvot tämän osion SID voi olla:
- 0 - null viranomainen
- 1 - Maailman viranomainen
- 2 - paikallisviranomainen
- 3 - luojan viranomainen
- 4 - ei-ainutkertainen viranomainen
- 5 - NT-viranomainen
'21' - Neljäs komponentti on alaviranomaisen 1. Neljännessä kentässä käytetään arvoa "21", jonka avulla määritetään, että jäljessä olevat viranomaiset tunnistavat paikallisen koneen tai verkkotunnuksen.
'1206375286-251249764-2214032401' - Näitä kutsutaan alivaltioksi 2,3 ja vastaavasti 4.Esimerkissämme käytetään paikallisen koneen tunnistamista, mutta se voi olla myös Domain-tunniste.
'1000' - Alivaltio 5 on SID: in viimeinen osa ja sitä kutsutaan RID( Relative Identifier).RID on suhteessa jokaiseen tietoturvaperiaatteeseen: huomioikaa, että kaikki käyttäjän määrittelemät kohteet, jotka eivät ole Microsoftin toimittamia, ovat RID-arvoja 1000 tai enemmän.
Turvallisuusperiaatteet
Turvallisuusperiaate on mikä tahansa, johon on liitetty SID.Nämä voivat olla käyttäjiä, tietokoneita ja jopa ryhmiä.Turvallisuusperiaatteet voivat olla paikallisia tai olla verkkotunnuksen yhteydessä.Hallitset paikallisia turvallisuusperiaatteita paikallisten käyttäjien ja ryhmien napsauttamalla, tietokonehallinnan alla. Pääset sinne napsauttamalla hiiren kakkospainikkeella tietokoneen pikakuvaketta käynnistysvalikossa ja valitsemalla hallinta.
Jos haluat lisätä uuden käyttäjän tietoturvaperiaatteen, voit siirtyä Käyttäjät-kansioon ja napsauttaa hiiren kakkospainiketta ja valita Uusi käyttäjä.
Jos kaksoisnapsautat käyttäjää, voit lisätä ne Member Group -välilehden Security Groupiin.
Voit luoda uuden tietoturvaryhmän siirtymällä oikealla puolella olevaan Ryhmät-kansioon. Napsauta hiiren kakkospainikkeella valkoista tilaa ja valitse Uusi ryhmä.
Osakeoikeudet ja NTFS-käyttöoikeus
Windowsissa on kahdenlaisia tiedosto- ja kansion käyttöoikeuksia. Ensinnäkin on Share-oikeudet. Toiseksi on NTFS-käyttöoikeuksia, joita kutsutaan myös suojauslupiksi. Yhteisten kansioiden suojaaminen tapahtuu yleensä Share- ja NTFS-käyttöoikeuksien yhdistelmällä.Koska näin on, on tärkeää muistaa, että kaikkein rajoittavin lupa koskee aina. Jos esimerkiksi osavaltion lupa antaa kaikkien tietoturvaperiaatteen lupa, mutta NTFS-lupa antaa käyttäjille mahdollisuuden muuttaa tiedostoa, osakeoikeus on etusijalla eikä käyttäjillä ole oikeutta tehdä muutoksia. Kun määrität oikeudet, LSASS( Local Security Authority) valvoo pääsyn resurssiin. Kun kirjaudut sisään, sinulle annetaan käyttöoikeuskoodi SID: lläsi. Kun käytät resurssia, LSASS vertaa ACL: ään( Access Control List) lisätyn SID: n. Jos SID on ACL: llä, se päättää sallitun käyttöoikeuden sallimisen tai kieltämisen. Riippumatta siitä, mitä käyttöoikeuksia käytät, on eroja, joten katsokaamme paremmin, kun käytämme mitä.
Osuusoikeudet:
- Käytetään vain käyttäjiin, jotka käyttävät resurssia verkon kautta. Ne eivät sovi, jos kirjaudut paikallisesti, esimerkiksi päätelaitteiden kautta.
- Se koskee kaikkia jaettuja tiedostoja ja kansioita. Jos haluat tarjota rakeisemmanlaisia rajoituksia, sinun on käytettävä NTFS-käyttöoikeutta jaetun lisenssin lisäksi.
- Jos sinulla on FAT- tai FAT32-muotoisia tiedostoja, tämä on ainoa käytettävissä oleva rajoitus, koska NTFS-käyttöoikeudet eivät olesaatavilla kyseisissä tiedostojärjestelmissä.
NTFS -oikeudet:
- NTFS-käyttöoikeuksien ainoa rajoitus on, että ne voidaan asettaa vain NTFS-tiedostojärjestelmälle alustettuun tilaan
- Muista, että NTFS-käyttöoikeudet ovat kumulatiivisia. Tämä tarkoittaa, että käyttäjän todelliset käyttöoikeudet ovat seurausta käyttäjän osoittamien käyttöoikeuksien yhdistämisestä ja kaikkien ryhmien oikeuksista, joihin käyttäjä kuuluu.
Uudet käyttöoikeudet
Windows 7 osti uutta "helppoa" jakamismenetelmää.Vaihtoehdot muuttuvat luku-, muutos- ja täydellisestä kontrollista lukemaan ja lukemaan / kirjoittamaan. Idea oli osa koko Homegroup-ajattelutapaa ja helpottaa jakamista kansioon, joka ei ole tietokoneella lukemattomia ihmisiä.Tämä tapahtuu kontekstivalikon kautta ja jakaa helposti kotiryhmän kanssa.
Jos haluat jakaa jonkun kanssa, joka ei ole kotiryhmässä, voit aina valita "Erityiset ihmiset. .." -vaihtoehdon. Mikä tuo esiin "enemmän" -valintaikkunan, jossa voit määrittää käyttäjän tai ryhmän.
Aiemmin mainituista käyttöoikeuksista on vain kaksi. Yhdessä ne tarjoavat kaikki tai ei mitään suojausmenetelmää kansioille ja tiedostoille.
- Lue -lupa on "look, do not touch" -vaihtoehto. Vastaanottajat voivat avata, mutta ei muokata tai poistaa tiedostoa.
- Lue / kirjoita on "tee mitään" vaihtoehto. Vastaanottajat voivat avata, muokata tai poistaa tiedoston.
Old School -oikeus
Vanhalla jakamisikkunalla oli enemmän vaihtoehtoja, kuten mahdollisuus jakaa kansio erilaisen aliaksen alla. Sen avulla voimme rajoittaa samanaikaisten yhteyksien määrää sekä määrittää välimuistin. Mikään näistä toiminnoista ei mene Windows 7: een, vaan pikemminkin piilotetaan vaihtoehtoon "Advanced Sharing".Jos napsautat hiiren kakkospainikkeella kansiota ja siirtymällä sen ominaisuuksiin, näet nämä "Lisäasetukset" -asetukset jakamisen välilehdessä.
Jos napsautat "Lisäasetukset" -painiketta, joka vaatii paikallisen järjestelmänvalvojan oikeudet, voit määrittää kaikki asetukset, jotka olet tuntenut Windowsin aiemmissa versioissa.
Jos napsautat käyttöoikeudet -painiketta, saat kolme asetusta, joista me kaikki tunnemme.
- Read -oikeuden avulla voit tarkastella ja avata tiedostoja ja alihakemistoja sekä suorittaa sovelluksia. Se ei kuitenkaan salli mitään muutoksia.
- Muokkaa -lupaa voit tehdä mitä tahansa Read -oikeuden sallimalla, ja se myös lisää kykyä lisätä tiedostoja ja alihakemistoja, poistaa alikansioita ja muuttaa tiedostojen tietoja.
- Täydellinen hallinta on klassisten käyttöoikeuksien "tee mitään", koska sen avulla voit tehdä minkä tahansa edellisen käyttöoikeuden. Lisäksi se antaa sinulle kehittyneen NTFS-käyttöoikeuden, mutta tämä koskee vain NTFS-kansioita.
NTFS-käyttöoikeudet
-NTFS-käyttöoikeudet mahdollistavat tiedostojen ja kansioiden erittäin rakeisen hallinnan. Sanotaan, että rakeisuuden määrä voi olla pelottava uudelle tulokkaalle. Voit myös asettaa NTFS-oikeudet per tiedostoperusteisesti sekä per kansion perusteella. Jos haluat asettaa NTFS-tiedoston käyttöoikeuden, napsauta hiiren kakkospainiketta ja siirry tiedoston ominaisuuksiin ja siirry sitten suojausvälilehdelle.
Jos haluat muokata käyttäjän tai ryhmän NTFS-käyttöoikeuksia, napsauta muokkauspainiketta.
Kuten näet, NTFS-käyttöoikeuksia on runsaasti, joten rikkoo ne. Ensin tarkastellaan NTFS-käyttöoikeuksia, jotka voit asettaa tiedostolle.
- Täyden säädön avulla voit lukea, kirjoittaa, muokata, suorittaa, muuttaa attribuutteja, käyttöoikeuksia ja ottaa omistamaan tiedoston.
- Muokkaa : n avulla voit lukea, kirjoittaa, muokata, suorittaa ja muuttaa tiedoston ominaisuuksia.
- Lue &Suorita : llä voit näyttää tiedoston tiedot, attribuutit, omistajan ja käyttöoikeudet ja suorittaa tiedoston, jos se on ohjelma.
- Lue avulla voit avata tiedoston, tarkastella sen ominaisuuksia, omistajaa ja käyttöoikeuksia.
- Kirjoita : llä voit kirjoittaa tiedostoja tiedostoon, liittää tiedostoon ja lukea tai muuttaa sen attribuutteja.
NTFS Kansioiden käyttöoikeudet ovat hieman erilaisia vaihtoehtoja, joten voit tarkastella niitä.
- Täydellinen hallinta : ssä voit lukea, kirjoittaa, muokata ja suorittaa kansion tiedostoja, muuttaa attribuutteja, käyttöoikeuksia ja omistaa kansion tai tiedostoja.
- Muokkaa in avulla voit lukea, kirjoittaa, muokata ja suorittaa kansion tiedostoja ja muuttaa kansion tai tiedostojen ominaisuuksia.
- Lue &Suorita : llä voit näyttää kansion sisällön ja näyttää kansion sisältämät tiedostot, attribuutit, omistajan ja käyttöoikeudet sekä käyttää tiedostoja kansion sisällä.
- Luettelo kansion sisällöstä : llä voit näyttää kansion sisällön ja näyttää kansion sisällä olevat tiedostot, attribuutit, omistajan ja käyttöoikeudet sekä ajaa tiedostoja kansiossa
- Read avulla voit näyttää tiedoston tiedot, attribuutit,omistaja ja oikeudet.
- Kirjoita : llä voit kirjoittaa tiedostoja tiedostoon, liittää tiedostoon ja lukea tai muuttaa sen attribuutteja.
Yhteenveto
Yhteenvetona käyttäjätunnukset ja ryhmät ovat aakkosnumeerisen merkkijonon( SID)( Security Identifier) esitysmuodot. Osake- ja NTFS-käyttöoikeudet on sidottu näihin SID-osoitteisiin. LSSAS tarkistaa jakamisoikeudet vain, kun niitä käytetään verkon kautta, kun taas NTFS-oikeudet yhdistetään Share Permissions -ominaisuuksiin, jotta sallitut rajat ylittävät tietoturvatekijät verkko- ja paikallisverkkojen kautta.
Jaetun resurssin käyttäminen
: ssä Nyt kun olemme oppineet kahdesta menetelmästä, joita voimme käyttää jakamaan sisältöä tietokoneissamme, kuinka voit todella käyttää sitä verkon kautta? Se on hyvin yksinkertainen. Kirjoita vain navigointipalkkiin seuraava.
\\ käyttäjätunnus \ sharename
Huomaa: Tietenkin sinun on vaihdettava tietokoneen nimi, joka ylläpitää osuuden ja osakkeen nimiä.
Tämä on erinomainen kerran yhteyden katkaisemiseksi, mutta entä suurempi yritysympäristö?Tietenkään sinun ei tarvitse opettaa käyttäjiäsi liittymään verkkoresursseihin tällä menetelmällä.Voit kiertää tämän, haluat kartoittaa verkkoaseman jokaiselle käyttäjälle, joten voit neuvoa heitä tallentamaan asiakirjansa "H" -asemaan sen sijaan, että yrität selittää, miten voit muodostaa yhteyden johonkin. Voit halutessasi piirtää aseman avaamalla Tietokoneen ja napsauttamalla "Map network drive" -painiketta.
Kirjoita sitten UNC-polku osuuteen.
Luultavasti ihmettelen, onko sinun tehtäväsi jokaisella tietokoneella, ja onneksi vastaus ei ole. Pikemminkin voit kirjoittaa eräkäsikirjoituksen, joka kartoittaa automaattisesti asemat käyttäjille kirjautumisen yhteydessä ja ottaa sen käyttöön ryhmäkäytännön avulla.
Jos käsittelemme komennon:
- Käytämme -verkkokäyttöä -komentoa kartan asemaan.
- Käytämme * -ohjelmaa osoituksena siitä, että haluamme käyttää seuraavan saatavilla olevan asemakirjaimen.
- Lopuksi määrittelee -osuuden, jonka haluamme kartoittaa aseman. Huomaa, että käytimme lainauksia, koska UNC-polku sisältää välilyöntejä.
Tiedostojen salaaminen salaus-tiedostojärjestelmän avulla
Windows sisältää kyvyn tiedostojen salaamiseen NTFS-äänenvoimakkuudella. Tämä tarkoittaa, että vain voit purkaa tiedostot ja tarkastella niitä.Jotta tiedosto voidaan salata, napsauta sitä hiiren kakkospainikkeella ja valitse ominaisuudet pikavalikosta.
Napsauta sitten edistynyttä.
Tarkista nyt Salaa sisältö varmistaaksesi tiedot -valintaruutu ja valitse sitten OK.
Siirry nyt ja aseta asetukset.
Meidän tarvitsee vain salata tiedosto, mutta sinulla on myös mahdollisuus salakirjoittaa myös vanhemman kansio.
Huomaa, että kun tiedosto on salattu, se muuttuu vihreäksi.
Huomaat nyt, että vain sinä pystyt avaamaan tiedoston ja että muut samassa tietokoneessa olevat käyttäjät eivät pysty. Salausprosessi käyttää julkisen avaimen salausta, joten pidä salausavaimet turvassa. Jos menetät ne, tiedostosi on poissa, eikä sitä ole mahdollista palauttaa.
Kotitehtävät
- Lisätietoja perinnön perinnöstä ja tehokkaista käyttöoikeuksista.
- Lue tämä Microsoft-asiakirja.
- Selvitä, miksi haluat käyttää BranchCachea.
- Opi jakamaan tulostimia ja miksi haluaisit.