21Aug
U ovoj instalaciji Geek škole razmatramo virtualizaciju mapa, SID-ova i dozvola, kao i sustav za šifriranje datoteka.
Obavezno pogledajte prethodne članke u ovom serijau Geek Škola na sustavu Windows 7:
- Predstavljamo Kako-To Geek Škola
- Nadogradnje i migracije
- Konfiguriranje uređaja
- Upravljanje diskovima
- Upravljanje programima
- Upravljanje Internet Explorerom
- Osnove IP adresiranja
- Umrežavanje
- WirelessUmrežavanje
- Vatrozid za Windows
- Daljinska administracija
- Daljinski pristup
- Praćenje, izvođenje i održavanje sustava Windows do datuma
I ostati u tijeku s ostatkom serije cijelog ovog tjedna.
Virtualizacija mape
Windows 7 je uveo pojam knjižnica što vam je omogućilo da imate centraliziranu lokaciju s kojega možete pregledavati resurse locirane na drugom mjestu na vašem računalu. Točnije, značajka knjižnica omogućila je da mape s bilo kojeg mjesta na računalu dodate u jednu od četiri zadane knjižnice, dokumente, glazbu, videozapise i slike, koje su lako dostupne iz navigacijskog okna programa Windows Explorer.
Postoje dvije važne stvari koje treba zapamtiti o značajci knjižnice:
- Kada dodate mapu u knjižnicu, sama mapa se ne pomica, već se veza stvara na mjesto mape.
- Da biste dodali mrežni udio u svoje knjižnice, ona mora biti dostupna izvanmrežno, iako biste također mogli upotrebljavati simbolične veze.
Da biste dodali mapu u biblioteku, jednostavno idite u biblioteku i kliknite vezu lokacije.
Zatim kliknite gumb za dodavanje.
Pronađite mapu koju želite uključiti u biblioteku i kliknite gumb za uključivanje mape.
To je sve što je u njemu.
Sigurnosni identifikator
Operacijski sustav Windows koristi SID-ove za zastupanje svih sigurnosnih načela. SID-ovi su samo duljine dužine promjenjive dužine alfanumeričkih znakova koji predstavljaju strojeve, korisnike i grupe. SID-ovi se dodaju u ACL-ove( Popis za kontrolu pristupa) svaki put kada dodijelite korisniku ili grupi dopuštenje za datoteku ili mapu. Iza kulisa, SID su pohranjeni na isti način na koji su svi ostali podatkovni objekti: u binarnom. Međutim, kada vidite SID u sustavu Windows, bit će prikazana pomoću čitljivije sintakse.Često nećete vidjeti bilo koji oblik SID-a u sustavu Windows;najčešći scenarij je kada dopustite nekome dopuštenje za resurs, a zatim izbrišite svoj korisnički račun. SID se pojavljuje u ACL-u. Tako možete pogledati tipičan format u kojemu ćete vidjeti SID-ove u sustavu Windows.
Zapis koji vidite ima određenu sintaksu. Ispod su različiti dijelovi SID-a.
- Predbroj "S"
- Broj revizija strukture
- Vrijednost autentičnosti 48-bitnog broja identifikatora
- Varijabilni broj 32-bitnih pod-ovlasti ili relativnih identifikatora( RID) vrijednosti
Pomoću mog SID-a na donjoj slici razbijat ćemo različiteda biste bolje razumjeli.
SID struktura:
'S' - Prva komponenta SID-a uvijek je 'S'.Ovo je prefiksno za sve SID-ove i postoji li obavijestiti Windowse da ono što slijedi je SID.
'1' - Druga komponenta SID-a je broj revizije specifikacije SID.Ako je specifikacija SID trebala promijeniti, omogućila bi kompatibilnost unatrag. Od sustava Windows 7 i Server 2008 R2, specifikacija SID još uvijek je u prvoj verziji.
'5' - Treći odjeljak SID-a naziva se Identifier Authority. Ovo određuje u kojem je opsegu generiran SID.Moguće vrijednosti za ove sekcije SID-a mogu biti:
- 0 - Null Authority
- 1 - Svjetska nadležnost
- 2 - Lokalna uprava
- 3 - Tijelo Stvoritelja
- 4 - Jedinstvena nadležnost
- 5 - NT Autoritet
'21' - Četvrta komponenta je pod-autoritet 1. Vrijednost '21' se koristi u četvrtom polju kako bi se odredilo da sub-vlasti koje slijede identificiraju Local Machine ili Domain.
'1206375286-251249764-2214032401' - To se naziva poduptivnost 2,3 i 4.U našem primjeru ovo se koristi za prepoznavanje lokalnog stroja, ali može biti i identifikator domene.
'1000' - Potvrda 5 je posljednja komponenta našeg SID-a i naziva se RID( Relative Identifier).RID je u odnosu na svaki princip sigurnosti: imajte na umu da svi korisnički definirani objekti, oni koje nije isporučio Microsoft, imat će RID od 1000 ili više.
Sigurnosna načela
Načelo sigurnosti je sve što je na njega pridruženo SID.To mogu biti korisnici, računala i čak skupine. Načela sigurnosti mogu biti lokalna ili biti u kontekstu domene. Upravljajte lokalnim sigurnosnim načelima putem dodatka lokalnih korisnika i grupa, pod upravljanjem računalom. Da biste stigli tamo, desnom tipkom miša kliknite prečac na računalu na izborniku Start i odaberite Upravljanje.
Da biste dodali novi princip zaštite korisnika, možete otići u mapu Korisnici i desnom tipkom miša kliknite Novi korisnik.
Ako dvaput kliknete na korisnika, možete ih dodati u sigurnosnu grupu na kartici Član.
Da biste stvorili novu sigurnosnu skupinu, idite do mape Grupe s desne strane. Desnom tipkom miša kliknite bijeli prostor i odaberite Nova grupa.
Dozvole za dijeljenje i dozvola NTFS
U sustavu Windows postoje dvije vrste dozvola za datoteke i mape. Prvo, postoje dozvole za dijeljenje. Drugo, postoje dozvole za NTFS, koje se nazivaju i dozvola za sigurnost. Osiguravanje zajedničkih mapa obično se provodi kombinacijom dozvola za dijeljenje i NTFS.Budući da je to slučaj, neophodno je zapamtiti da se uvijek restriktivno dopušta. Na primjer, ako dopuštenje za dijeljenje daje dopuštenje za čitanje svih načela sigurnosti, dopuštenje za dopuštanje NTFS-a dopušta korisnicima da izvrše izmjenu datoteke, dozvolu dijeljenja imat će prednost, a korisnicima neće biti dopušteno izvršiti promjene. Kada postavite dopuštenja, LSASS( Local Security Authority) kontrolira pristup resursu. Kada se prijavite, dobit ćete pristupni token sa svojim SID-om. Kada pristupite resursu, LSASS uspoređuje SID koji ste dodali u ACL( Popis za kontrolu pristupa).Ako je SID na ACL-u, određuje hoće li dopustiti ili odbiti pristup. Bez obzira na dozvole koje koristite, postoje razlike pa pogledajmo kako bismo bolje razumjeli kada bismo trebali koristiti ono što.
Dijele dozvole:
- Primijenite samo korisnike koji pristupaju resursu putem mreže. Oni se ne primjenjuju ako se prijavite lokalno, na primjer putem terminalskih usluga.
- Primjenjuje se na sve datoteke i mape u zajedničkom resursu. Ako želite pružiti više granularne vrste ograničenja shema, trebate koristiti NTFS Dopuštenje uz dopuštene dozvole
- Ako imate bilo koji formatirani volumen FAT ili FAT32, to će biti jedini oblik ograničenja koji vam je dostupan, jer NTFS Dozvole nisudostupni na tim datotekama.
NTFS Dozvole:
- Jedino ograničenje dozvola NTFS je da se mogu postaviti samo na volumen koji je formatiran u NTFS datotečni sustav
- Imajte na umu da su dopuštenja NTFS kumulativna. To znači da su učinkovite dozvole korisnika rezultat kombiniranja korisničkih dodijeljenih dozvola i dozvola bilo koje grupe korisnika kojoj pripada.
Dopuštenja za nove dozvole
Windows 7 kupio je novu "jednostavnu" tehniku dijeljenja. Opcije su promijenjene iz Read, Change i Full Control za čitanje i čitanje / pisanje. Ideja je bila dio cijelog mentaliteta domaće grupe i olakšava dijeljenje mape za osobe koje nisu pismene. To se vrši putem kontekstnog izbornika i jednostavno dijeli s vašom početnom grupom.
Ako želite podijeliti s nekim tko nije u kućnoj grupi, uvijek možete odabrati opciju "Specifični ljudi. ..".Što će donijeti više "razrađen" dijalog gdje možete odrediti korisnika ili grupu.
Postoje samo dvije dozvole, kao što je prethodno spomenuto. Zajedno, oni nude sve ili ništa zaštitne sheme za vaše mape i datoteke.
- Čitanje dopuštenje je opcija "izgled, ne diraj".Primatelji mogu otvoriti, ali ne mijenjati ili izbrisati datoteku.
- Čitanje / pisanje je opcija "učiniti sve".Primatelji mogu otvoriti, mijenjati ili izbrisati datoteku.
Old School Dopuštenje
Stari dijalog dijeljenja imao je više mogućnosti, kao što je mogućnost dijeljenja mape pod drugim pseudonimom. To nam je omogućilo ograničavanje broja istovremenih veza i konfiguriranje predmemoriranja. Nijedna od tih funkcija nije izgubljena u sustavu Windows 7, već je skrivena pod opcijom pod nazivom "Napredno dijeljenje".Ako desnom tipkom miša kliknete mapu i prijeđete na njezina svojstva, možete pronaći ove postavke "Napredno dijeljenje" pod karticom za dijeljenje. Ako kliknete gumb "Napredno dijeljenje", koji zahtijeva vjerodajnice lokalnih administratora, možete konfigurirati sve postavke koje ste upoznali u prethodnim verzijama sustava Windows. Ako kliknete gumb dopuštenja, prikazat će se 3 postavke za koje svi znamo.
- Čita dozvola omogućuje pregled i otvaranje datoteka i poddirektorija, kao i izvršavanje aplikacija. Međutim, ne dopušta nikakve izmjene.
- Izmjena dozvole omogućuje vam da učinite sve što je dopušteno za Read dopušta, a također dodaje mogućnost dodavanja datoteka i poddirektorija, brisanje podmapa i promjene podataka u datotekama.
- Potpuna kontrola je "učiniti sve" klasičnih dopuštenja, jer vam omogućuje da učinite bilo koju i prethodnu dozvolu. Osim toga, ona vam daje naprednu promjenu NTFS dopuštenja, ali to vrijedi samo za NTFS mape
NTFS Dozvole
NTFS Dozvole omogućuju vrlo grubu kontrolu nad datotekama i mapama. S tim rečeno, visina granularnosti može biti zastrašujuća za novopridošla. Također možete postaviti dozvolu NTFS po bazama podataka, kao i po mapi osnovi. Da biste postavili NTFS Dozvolu za datoteku, trebali biste kliknuti desnom tipkom i otići do svojstava datoteke, a zatim otvoriti karticu Sigurnost.
Da biste uredili dozvole za korisnika ili grupu NTFS, kliknite gumb za uređivanje. Kao što vidite, postoji dosta dozvola NTFS-a, stoga ih prekinemo. Prvo ćemo pogledati dozvole NTFS koje možete postaviti u datoteci.
- potpuna kontrola omogućuje čitanje, pisanje, izmjenu, izvršavanje, promjenu atributa, dopuštenja i preuzimanje vlasništva nad datotekom.
- Izmijeni omogućuje čitanje, pisanje, izmjenu, izvršavanje i promjenu atributa datoteke.
- Čitanje &Izvrši omogućit će vam prikaz podataka, atributa, vlasnika i dopuštenja datoteke i pokretanje datoteke ako je to program.
- Pročitajte će vam omogućiti da otvorite datoteku, pogledate njegove atribute, vlasnika i dopuštenja.
- Napišite će vam omogućiti da zapišete podatke u datoteku, dodate u datoteku i pročitate ili promijenite njegove atribute.
NTFS Dozvole za mape imaju blago različite opcije pa ih možete pogledati.
- Potpuna kontrola će vam omogućiti čitanje, pisanje, izmjenu i izvršavanje datoteka u mapi, promjenu atributa, dopuštenja i preuzimanje vlasništva nad mapom ili datotekama unutar.
- Izmijeni će vam omogućiti čitanje, pisanje, izmjenu i izvršavanje datoteka u mapi i promjenu atributa mape ili datoteka unutar.
- Čitanje &Izvrši omogućit će prikaz sadržaja i prikaz podataka, atributa, vlasnika i dopuštenja za datoteke unutar mape i pokretanje datoteka unutar mape.
- Popis mape Sadržaj omogućit će vam da prikažete sadržaj mape i prikažete podatke, atribute, vlasnike i dozvole za datoteke unutar mape i pokrenite datoteke unutar mape
- Read omogućit će vam prikaz podataka, atributa,vlasnik i dopuštenja.
- Napišite će vam omogućiti da zapišete podatke u datoteku, dodate u datoteku i pročitate ili promijenite njegove atribute.
Sažetak
Ukratko, korisnička imena i skupine predstavljaju alfanumerički niz nazvan SID( Security Identifier).Dijele i Datoteke NTFS vezane su za te SID-ove. Dozvole za dijeljenje provjerava LSSAS samo kada se pristupa putem mreže, dok su dozvole za NTFS kombinirane s dozvolama za dijeljenje kako bi se omogućila preciznija razina sigurnosti za resurse kojima se pristupa putem mreže i lokalno.
Pristup zajedničkom resursu
Dakle sada kada smo naučili o dvije metode koje možemo koristiti za dijeljenje sadržaja na našim računalima, kako zapravo možete pristupiti mreži? Vrlo je jednostavno. Samo upišite sljedeće u navigacijsku traku.
\\ korisničko ime \ dijela
Napomena: Očito ćete morati zamijeniti računalno ime za ime računala koja posjeduje udio i dijeljenje za naziv dijela.
Ovo je sjajno za neko vrijeme izvan povezivanja, ali što je u većem korporativnom okruženju? Sigurno ne morate naučiti svoje korisnike kako se povezati s resursima mreže pomoću ove metode. Da biste to ostvarili, željet ćete mapirati mrežni pogon za svakog korisnika, tako da im možete savjetovati da pohranjuju svoje dokumente na "H" pogon, a ne pokušavate objasniti kako se povezati s dijeljenjem. Da biste mapirali disk, otvorite Računalo i kliknite gumb "Mrežni pogon mreže".
Zatim jednostavno unesite UNC put udjela.
Vaša se vjerojatno pitate ako to morate raditi na svakom računalu, a srećom odgovor nije. Naprotiv, možete napisati skupnu skriptu za automatsko mapiranje pogona za svoje korisnike prilikom prijave i implementaciju putem pravila grupe.
Ako razvrsta naredbu:
- Koristimo neto uporabu naredbe za mapiranje pogona.
- Koristimo * kako bismo naznačili da želimo koristiti sljedeće dostupno slovo pogona.
- Konačno smo navesti udio koji želimo mapirati pogon. Napominjemo da smo koristili citate jer UNC put sadrži razmake.
Šifriranje datoteka pomoću šifrirnog datotečnog sustava
Windows uključuje mogućnost kriptiranja datoteka na NTFS volumenu. To znači da ćete moći dešifrirati datoteke i pregledati ih. Da biste šifrirali datoteku, jednostavno kliknite desnom tipkom miša i odaberite svojstva iz kontekstnog izbornika.
Zatim kliknite na napredni.
Sada označite potvrdni okvir Encrypt content to secure data( Potvrdi podatke), a zatim kliknite OK( U redu).
Sada idite naprijed i primijenite postavke.
Moramo samo šifrirati datoteku, ali imate i mogućnost kriptiranja nadređene mape.
Imajte na umu da nakon što je šifrirana datoteka postaje zelena.
Sada ćete primijetiti da ćete samo moći otvoriti datoteku i da drugi korisnici na istom računalu neće biti u mogućnosti. Proces enkripcije koristi enkripciju javnog ključa, stoga čuvajte ključeve šifriranja. Ako ih izgubite, datoteka je nestala i nema načina za oporavak.
Zadaci
- Saznajte više o dopuštenju nasljedstva i učinkovite dozvole.
- Pročitajte ovaj Microsoftov dokument.
- Saznajte zašto biste željeli koristiti BranchCache.
- Saznajte kako dijeliti pisače i zašto biste to htjeli.