7Jul

Bagaimana Memahami File Windows 7 yang Membingungkan / Izin Berbagi

Pernahkah Anda mencoba mengetahui semua hak akses di Windows? Ada izin berbagi, izin NTFS, daftar kontrol akses, dan banyak lagi. Begini cara mereka semua bekerja sama.

Security Identifier

Sistem Operasi Windows menggunakan SID untuk mewakili semua prinsip keamanan. SID hanya string panjang variabel karakter alfanumerik yang mewakili mesin, pengguna, dan grup. SID ditambahkan ke ACL( Access Control Lists) setiap kali Anda memberi izin kepada pengguna atau grup ke file atau folder. Di balik layar SID disimpan dengan cara yang sama seperti semua objek data lainnya, dalam biner. Namun ketika Anda melihat SID di Windows itu akan ditampilkan dengan menggunakan sintaks yang lebih mudah dibaca. Hal ini tidak sering bahwa Anda akan melihat bentuk SID di Windows, skenario yang paling umum adalah ketika Anda memberikan izin kepada seseorang untuk mendapatkan sumber daya, maka akun pengguna mereka akan dihapus, kemudian akan muncul sebagai SID di ACL.Jadi, mari kita lihat format khas di mana Anda akan melihat SID di Windows.

Notasi yang akan Anda lihat memerlukan sintaks tertentu, berikut adalah bagian SID yang berbeda dalam notasi ini.

  1. Awalan 'AS'
  2. Angka revisi struktur
  3. Nilai otoritas pengenal 48-bit
  4. Sejumlah variabel nilai sub-authority atau relative identifier( RID) 32-bit

Dengan menggunakan SID saya pada gambar di bawah ini, kita akan memecah perbedaanbagian untuk mendapatkan pemahaman yang lebih baik.

Struktur SID:

'S' - Komponen pertama SID selalu 'S'.Ini diawali dengan semua SID dan ada untuk memberi tahu Windows bahwa yang berikut adalah SID.
'1' - Komponen kedua dari SID adalah nomor revisi spesifikasi SID, jika spesifikasi SID mengubahnya akan memberikan kompatibilitas mundur. Pada Windows 7 dan Server 2008 R2, spesifikasi SID masih dalam revisi pertama.
'5' - Bagian ketiga dari SID disebut Otoritas Identifier. Ini mendefinisikan dalam lingkup SID yang dihasilkan. Nilai yang mungkin untuk bagian SID ini adalah:

  1. 0 - Otoritas Null
  2. 1 - Otoritas Dunia
  3. 2 - Otoritas Lokal
  4. 3 - Otoritas Pencipta
  5. 4 - Otoritas yang Tidak Berguna
  6. 5 - Otoritas NT

'21' - TheKe depan komponen adalah sub-otoritas 1, nilai '21' digunakan di lapangan maju untuk menentukan bahwa sub-otoritas yang mengikuti mengidentifikasi Local Machine atau Domain.
'1206375286-251249764-2214032401' - Ini disebut sub-otoritas 2,3 dan 4 masing-masing. Dalam contoh kita ini digunakan untuk mengidentifikasi mesin lokal, tapi bisa juga menjadi identifier untuk Domain.
'1000' - Sub-otoritas 5 adalah komponen terakhir dalam SID kami dan disebut RID( Relative Identifier), RID relatif terhadap setiap prinsip keamanan, harap dicatat bahwa setiap objek yang ditetapkan pengguna, yang tidak dikirimoleh Microsoft akan memiliki RID 1000 atau lebih. Prinsip Keamanan

Prinsip keamanan adalah segala sesuatu yang memiliki SID yang melekat padanya, ini bisa berupa pengguna, komputer dan bahkan kelompok. Prinsip keamanan bisa bersifat lokal atau berada dalam konteks domain. Anda mengelola prinsip keamanan lokal melalui snap-in Pengguna Lokal dan Grup, di bawah manajemen komputer. Untuk sampai di sana klik kanan pada shortcut komputer di start menu dan pilih manage.

Untuk menambahkan prinsip keamanan pengguna baru, Anda bisa masuk ke folder pengguna dan klik kanan dan pilih pengguna baru.

Jika Anda mengklik dua kali pengguna Anda dapat menambahkannya ke Grup Keamanan pada tab Anggota.

Untuk membuat grup keamanan baru, navigasikan ke folder Groups di sisi kanan. Klik kanan pada white space dan pilih new group. Izin Berbagi

dan Izin NTFS

Pada Windows ada dua jenis hak akses file dan folder, pertama ada Share Permissions dan kedua ada NTFS Permissions juga disebut Security Permissions. Perhatikan bahwa saat Anda membagikan folder secara default, grup "Semua Orang" diberi izin baca. Keamanan pada folder biasanya dilakukan dengan kombinasi Share and NTFS Permission jika hal ini penting untuk diingat bahwa yang paling ketat selalu berlaku, misalnya jika izin share disetel ke Everyone = Read( yang merupakan default),namun Izin NTFS memungkinkan pengguna membuat perubahan pada file, Izin Berbagi akan lebih disukai dan pengguna tidak diizinkan melakukan perubahan. Saat Anda menyetel izin, LSASS( Otoritas Keamanan Lokal) mengontrol akses ke sumber daya. Bila Anda logon, Anda diberi token akses dengan SID Anda di atasnya, saat Anda mengakses sumber LSASS membandingkan SID yang Anda tambahkan ke ACL( Access Control List) dan jika SID ada di ACL, itu akan menentukan apakah akanmengizinkan atau menolak aksesTidak masalah apa hak akses yang Anda gunakan ada perbedaan sehingga mari kita lihat untuk mendapatkan pemahaman yang lebih baik tentang kapan kita harus menggunakan apa. Perizinan Bagi

:

  1. Hanya berlaku untuk pengguna yang mengakses sumber daya melalui jaringan. Mereka tidak berlaku jika Anda login secara lokal, misalnya melalui layanan terminal.
  2. Ini berlaku untuk semua file dan folder di sumber berbagi. Jika Anda ingin memberikan skema pembatasan yang lebih terperinci, Anda harus menggunakan Izin NTFS selain izin bersama
  3. Jika Anda memiliki volume berformat FAT atau FAT32, ini akan menjadi satu-satunya bentuk pembatasan yang tersedia bagi Anda, karena Izin NTFS tidaktersedia pada sistem file tersebut. Perizinan NTFS

:

  1. Satu-satunya batasan pada Izin NTFS adalah bahwa file tersebut hanya dapat disetel pada volume yang diformat ke sistem berkas NTFS
  2. Ingat bahwa NTFS bersifat kumulatif yang berarti bahwa perizinan pengguna yang efektif adalah hasil dari penggabungan pengguna yang ditugaskanhak akses dan hak akses dari setiap grup yang menjadi milik pengguna.

Perizinan Saham Baru

Windows 7 dibeli dengan teknik berbagi "mudah" baru. Pilihannya berubah dari Read, Change and Full Control to. Baca dan Baca / Tulis. Idenya adalah bagian dari keseluruhan mentalitas kelompok Komunitas dan memudahkan berbagi folder untuk orang yang tidak melek komputer. Hal ini dilakukan melalui menu konteks dan berbagi dengan kelompok asal Anda dengan mudah.

Jika Anda ingin berbagi dengan seseorang yang tidak berada dalam kelompok asal Anda selalu dapat memilih opsi "Orang Tertentu. ..".Yang akan memunculkan dialog "lebih rumit".Di mana Anda bisa menentukan pengguna atau grup tertentu.

Hanya ada dua izin seperti yang disebutkan sebelumnya, bersama-sama mereka menawarkan skema perlindungan atau tidak semua untuk folder dan file Anda.

  1. Baca izin adalah opsi "lihat, jangan sentuh".Penerima dapat membuka, namun tidak mengubah atau menghapus file.
  2. Baca / Tulis adalah opsi "lakukan apa saja".Penerima dapat membuka, memodifikasi, atau menghapus file.

The Old School Way

Dialog share lama memiliki lebih banyak pilihan dan memberi kami pilihan untuk berbagi folder dengan alias yang berbeda, ini memungkinkan kami membatasi jumlah koneksi simultan dan juga mengkonfigurasi cache. Tak satu pun dari fungsi ini hilang di Windows 7 namun tersembunyi di bawah opsi yang disebut "Berbagi Lanjutan".Jika Anda klik kanan pada folder dan pergi ke propertinya Anda dapat menemukan pengaturan "Advanced Sharing" ini di bawah tab sharing.

Jika Anda mengklik tombol "Advanced Sharing", yang memerlukan kredensial administrator lokal, Anda dapat mengkonfigurasi semua pengaturan yang Anda ketahui di versi Windows sebelumnya.

Jika Anda mengklik tombol perizinan Anda akan disajikan dengan 3 setting yang kita semua kenal.

  1. Baca izin memungkinkan Anda untuk melihat dan membuka file dan subdirektori serta menjalankan aplikasi. Namun hal itu tidak memungkinkan adanya perubahan apapun.
  2. Memodifikasi izin memungkinkan Anda melakukan apa pun yang Baca izin memungkinkan, ini juga menambahkan kemampuan untuk menambahkan file dan subdirektori, menghapus subfolder dan mengubah data dalam file.
  3. Kendali Kendali adalah "melakukan sesuatu" dari hak akses klasik, karena memungkinkan Anda melakukan setiap dan semua izin sebelumnya. Selain itu, ini memberi Anda Izin NTFS lanjutan yang berubah, ini hanya berlaku pada Folder NTFS

NTFS Permissions

NTFS Permission memungkinkan kontrol yang sangat terperinci atas file dan folder Anda. Dengan mengatakan bahwa jumlah granularitas bisa menakutkan bagi pendatang baru. Anda juga dapat mengatur izin NTFS secara per basis dan juga basis per folder. Untuk mengatur Izin NTFS pada file Anda harus klik kanan dan masuk ke properti file di mana Anda harus masuk ke tab keamanan.

Untuk mengedit Izin NTFS untuk User atau Group klik pada tombol edit.

Seperti yang Anda lihat ada cukup banyak Izin NTFS jadi mari kita hancurkan mereka. Pertama kita akan melihat pada NTFS Permissions yang dapat Anda set pada sebuah file.

  1. Full Control memungkinkan Anda untuk membaca, menulis, memodifikasi, mengeksekusi, mengubah atribut, perizinan, dan mengambil alih kepemilikan file.
  2. Memodifikasi memungkinkan Anda untuk membaca, menulis, memodifikasi, mengeksekusi, dan mengubah atribut file.
  3. Baca &Jalankan akan memungkinkan Anda menampilkan data, atribut, pemilik, dan izin file, dan menjalankan file jika ada sebuah program.
  4. Baca akan memungkinkan Anda untuk membuka file, melihat atribut, pemilik, dan izinnya.
  5. Write akan memungkinkan Anda untuk menulis data ke file, menambahkan ke file, dan membaca atau mengubah atributnya. Perizinan NTFS

untuk folder memiliki opsi yang sedikit berbeda sehingga mari kita lihat mereka.

  1. Kontrol Penuh memungkinkan Anda untuk membaca, menulis, memodifikasi, dan mengeksekusi file di dalam folder, mengubah atribut, izin, dan mengambil alih kepemilikan folder atau file di dalamnya.
  2. Memodifikasi memungkinkan Anda membaca, menulis, memodifikasi, dan mengeksekusi file di dalam folder, dan mengubah atribut folder atau file di dalamnya.
  3. Baca &Jalankan akan memungkinkan Anda untuk menampilkan isi folder dan menampilkan data, atribut, pemilik, dan hak akses untuk file dalam folder, dan menjalankan file dalam folder. Daftar Isi
  4. Daftar Isi akan memungkinkan Anda menampilkan isi folder dan menampilkan data, atribut, pemilik, dan izin untuk file dalam folder.
  5. Baca akan memungkinkan Anda menampilkan data, atribut, pemilik, dan izin file tersebut.
  6. Tulis akan memungkinkan Anda menulis data ke file, menambahkan ke file, dan membaca atau mengubah atributnya.

Dokumentasi Microsoft juga menyatakan bahwa "List Folder Contents" akan membiarkan Anda mengeksekusi file di dalam folder, namun Anda tetap harus mengaktifkan "Read &Jalankan "untuk melakukannya. Ini adalah izin yang sangat mendokumentasikan. Ringkasan

Singkatnya, nama pengguna dan grup merupakan representasi dari string alfanumerik yang disebut SID( Security Identifier), Izin Berbagi dan NTFS terkait dengan SID ini. Izin Berbagi diperiksa oleh LSSAS hanya saat diakses melalui jaringan, sementara Izin NTFS hanya berlaku di mesin lokal. Saya harap kalian semua memiliki pemahaman yang baik tentang bagaimana keamanan file dan folder di Windows 7 diimplementasikan. Jika Anda memiliki pertanyaan, silakan bebaskan komentar.