21Aug

Geek School: Learning Windows 7 - Resource Access

In deze installatie van Geek School bekijken we Folder Virtualization, SID's en Permission, evenals het Encrypting File System.

Lees de eerdere artikelen in deze Geek School-serie over Windows 7:

  • Kennismaken met How-To Geek School
  • Upgrades en migraties
  • Apparaten configureren
  • Disks beheren
  • Toepassingen beheren
  • Internet Explorer beheren
  • IP-adressering Grondbeginselen
  • Netwerken
  • DraadloosNetwerken
  • Windows Firewall
  • Extern beheer
  • Toegang op afstand
  • Monitoring, prestaties en up-to-date houden van Windows

En blijf op de hoogte voor de rest van de serie deze week.

Foldervirtualisatie

Windows 7 introduceerde het concept van bibliotheken waardoor u een gecentraliseerde locatie had van waar u bronnen kon bekijken die zich elders op uw computer bevonden. Meer specifiek, met de functie Bibliotheken kunt u mappen vanaf elke locatie op uw computer toevoegen aan een van de vier standaardbibliotheken, Documenten, Muziek, Video's en Afbeeldingen, die eenvoudig toegankelijk zijn vanuit het navigatievenster van Windows Verkenner.

Er zijn twee belangrijke dingen om op te merken over de bibliotheekfunctie:

  • Wanneer u een map aan een bibliotheek toevoegt, wordt de map zelf niet verplaatst, maar wordt er een koppeling gemaakt naar de locatie van de map.
  • Om een ​​netwerkshare aan uw bibliotheken toe te voegen, moet deze offline beschikbaar zijn, maar u kunt ook een werk rond gebruiken met behulp van symbolische koppelingen.

Om een ​​map aan een bibliotheek toe te voegen, gaat u gewoon naar de bibliotheek en klikt u op de koppeling naar locaties.

Klik vervolgens op de knop Toevoegen.

Zoek nu de map die u in de bibliotheek wilt opnemen en klik op de knop Map opnemen.

Dat is alles.

De beveiligingsidentificatie

Het Windows-besturingssysteem gebruikt SID's om alle beveiligingsprincipes weer te geven. SID's zijn gewoon variabele tekenreeksen van alfanumerieke tekens die machines, gebruikers en groepen vertegenwoordigen. SID's worden toegevoegd aan ACL's( Access Control Lists) telkens wanneer u een gebruiker of groep toestemming geeft voor een bestand of map. Achter de schermen worden SID's op dezelfde manier opgeslagen als alle andere gegevensobjecten: in binair. Wanneer u echter een SID in Windows ziet, wordt deze weergegeven met een beter leesbare syntaxis. Het komt niet vaak voor dat u een vorm van SID ziet in Windows;het meest voorkomende scenario is wanneer u iemand toestemming verleent aan een resource en vervolgens zijn gebruikersaccount verwijdert. De SID verschijnt dan in de ACL.Laten we dus eens kijken naar het typische formaat waarin u SID's in Windows ziet.

De notatie die u ziet heeft een bepaalde syntaxis. Hieronder staan ​​de verschillende delen van een SID.

  • Een 'S'-voorvoegsel
  • Structuurherzieningsnummer
  • Een 48-bits ID-machtigingswaarde
  • Een variabel aantal 32-bits subbevoegdheid of relatieve identificator( RID) -waarden

Met behulp van mijn SID in de onderstaande afbeelding splitsen we de verschillendesecties om een ​​beter begrip te krijgen.

De SID-structuur:

'S' - Het eerste onderdeel van een SID is altijd een 'S'.Dit is een voorvoegsel voor alle SID's en dient om Windows te informeren dat wat volgt een SID is.
'1' - Het tweede onderdeel van een SID is het revisienummer van de SID-specificatie. Als de SID-specificatie zou veranderen, zou dit achterwaartse compatibiliteit bieden. Vanaf Windows 7 en Server 2008 R2 bevindt de SID-specificatie zich nog in de eerste revisie.
'5' - Het derde deel van een SID wordt de Identifier Authority genoemd. Dit definieert in welk bereik de SID werd gegenereerd. Mogelijke waarden voor dit gedeelte van de SID kunnen zijn:

  • 0 - NULL Authority
  • 1 - World Authority
  • 2 - Local Authority
  • 3 - Creator Authority
  • 4 - Niet-unieke autoriteit
  • 5 - NT Authority

'21' - Het vierde onderdeel is subautoriteit 1. De waarde '21' wordt gebruikt in het vierde veld om aan te geven dat de subautoriteiten die volgen de lokale machine of het domein identificeren.
'1206375286-251249764-2214032401' - Deze worden respectievelijk sub-autoriteit 2,3 en 4 genoemd. In ons voorbeeld wordt dit gebruikt om de lokale machine te identificeren, maar het kan ook de identifier voor een domein zijn.
'1000' - Subautoriteit 5 is de laatste component in onze SID en wordt de RID( Relative Identifier) ​​genoemd. De RID is relatief ten opzichte van elk beveiligingsprincipe: houd er rekening mee dat alle door de gebruiker gedefinieerde objecten, die niet door Microsoft worden verzonden, een RID van 1000 of hoger hebben.

Beveiligingsprincipes

Een beveiligingsprincipe is alles waaraan een SID is gekoppeld. Dit kunnen gebruikers, computers en zelfs groepen zijn. Beveiligingsprincipes kunnen lokaal zijn of in de domeincontext zijn. U beheert de lokale beveiligingsprincipes via de module Lokale gebruikers en groepen, onder computerbeheer. Om daar te komen, rechtsklik op de snelkoppeling van de computer in het startmenu en kies beheren.

Om een ​​nieuw gebruikersbeveiligingsprincipe toe te voegen, gaat u naar de map Gebruikers en klikt u met de rechtermuisknop en kiest u Nieuwe gebruiker.

Als u dubbelklikt op een gebruiker, kunt u deze toevoegen aan een beveiligingsgroep op het tabblad Lid van.

Ga naar de map Groepen aan de rechterkant om een ​​nieuwe beveiligingsgroep te maken. Klik met de rechtermuisknop op de witte ruimte en selecteer Nieuwe groep.

Share Permissions en NTFS Permission

In Windows zijn er twee soorten permissies voor bestanden en mappen. Ten eerste zijn er de Share-machtigingen. Ten tweede zijn er NTFS-machtigingen, die ook beveiligingsmachtigingen worden genoemd. Het beveiligen van gedeelde mappen gebeurt meestal met een combinatie van gedeelde en NTFS-machtigingen. Aangezien dit het geval is, is het essentieel om te onthouden dat de meest beperkende toestemming altijd van toepassing is. Als de share-machtiging bijvoorbeeld het Everyone-beveiligingsprincipe leest, geeft de NTFS-machtiging gebruikers de mogelijkheid om het bestand te wijzigen. De share-machtiging heeft voorrang en de gebruikers mogen geen wijzigingen aanbrengen. Wanneer u de machtigingen instelt, bepaalt de LSASS( Local Security Authority) de toegang tot de resource. Wanneer u zich aanmeldt, krijgt u een toegangstoken met uw SID erop. Wanneer u de resource opent, vergelijkt de LSASS de SID die u hebt toegevoegd aan de ACL( Access Control List).Als de SID zich in de ACL bevindt, bepaalt deze of toegang moet worden toegestaan ​​of geweigerd. Ongeacht welke machtigingen u gebruikt, er zijn verschillen, dus laten we een kijkje nemen om een ​​beter begrip te krijgen van wanneer we zouden moeten gebruiken.

-gedeelde machtigingen:

  • Alleen van toepassing op gebruikers die via het netwerk toegang tot de bron hebben. Ze zijn niet van toepassing als u zich lokaal aanmeldt, bijvoorbeeld via terminalservices.
  • Het is van toepassing op alle bestanden en mappen in de gedeelde bron. Als u een gedetailleerder beperkingsschema wilt bieden, moet u NTFS-toestemming gebruiken naast de gedeelde machtigingen
  • . Als u FAT- of FAT32-geformatteerde volumes hebt, is dit de enige vorm van beperking die voor u beschikbaar is, aangezien NTFS-machtigingen niet zijnbeschikbaar op die bestandssystemen.

NTFS-machtigingen:

  • De enige beperking op NTFS-machtigingen is dat ze alleen kunnen worden ingesteld op een volume dat is geformatteerd naar het NTFS-bestandssysteem
  • Vergeet niet dat NTFS-machtigingen cumulatief zijn. Dat betekent dat de effectieve machtigingen van een gebruiker het resultaat zijn van het combineren van de toegewezen machtigingen van de gebruiker en de rechten van alle groepen waartoe de gebruiker behoort.

De nieuwe gedeelde machtigingen

Windows 7 kocht een nieuwe "gemakkelijke" deeltechniek. De opties veranderden van Lezen, Wijzigen en Volledig beheer in Lezen en Lezen / Schrijven. Het idee was onderdeel van de hele thuisgemeenschap-mentaliteit en maakt het gemakkelijk om een ​​map te delen voor niet-computer geletterden. Dit gebeurt via het contextmenu en deelt eenvoudig met uw thuisgroep.

Als u wilt delen met iemand die niet in de thuisgroep is, kunt u altijd de optie "Specifieke mensen. .." kiezen. Dit zou een meer uitgebreid dialoogvenster opleveren waarin u een gebruiker of groep zou kunnen specificeren.

Er zijn slechts twee rechten, zoals eerder vermeld. Samen bieden ze een alles of niets beveiligingsschema voor uw mappen en bestanden.

  1. Lezen toestemming is de "kijk, raak niet aan" optie. Ontvangers kunnen een bestand openen, maar niet wijzigen of verwijderen.
  2. Lezen / schrijven is de "doe iets" optie. Ontvangers kunnen een bestand openen, wijzigen of verwijderen.

De toestemming van de oude school

Het oude dialoogvenster voor delen had meer opties, zoals de optie om de map onder een andere alias te delen. Hierdoor konden we het aantal gelijktijdige verbindingen beperken en caching configureren. Geen van deze functies gaat verloren in Windows 7, maar is eerder verborgen onder de optie 'Geavanceerd delen'.Als u met de rechtermuisknop op een map klikt en naar de eigenschappen ervan gaat, vindt u deze instellingen voor "Geavanceerd delen" op het tabblad Delen.

Als u op de knop "Geavanceerd delen" klikt, waarvoor lokale beheerdersreferenties nodig zijn, kunt u alle instellingen configureren die u in eerdere versies van Windows kende.

Als u op de toestemmingenknop klikt, krijgt u de 3 instellingen te zien die we allemaal kennen.

    • Met de machtiging kunt u bestanden en submappen bekijken en openen en toepassingen uitvoeren. Het laat echter geen wijzigingen toe.
    • Wijzigen Met toestemming kunt u alles doen wat lezen toestaat, toestaat, en het voegt ook de mogelijkheid toe om bestanden en submappen toe te voegen, submappen te verwijderen en gegevens in de bestanden te wijzigen.
    • Volledig beheer is het "alles doen" van de klassieke rechten, omdat het u toestaat om alle voorgaande permissies te doen. Bovendien geeft het u de geavanceerde veranderende NTFS-machtiging, maar dit is alleen van toepassing op NTFS-mappen

NTFS-machtigingen

NTFS-machtigingen maken zeer granulaire controle over uw bestanden en mappen mogelijk. Met dat gezegd, kan de hoeveelheid korreligheid een nieuwkomer ontmoedigen. U kunt ook NTFS-rechten per bestand en per map instellen. Als u NTFS-machtiging voor een bestand wilt instellen, klikt u met de rechtermuisknop en gaat u naar de eigenschappen van het bestand en gaat u naar het tabblad Beveiliging.

Klik op de knop Bewerken om de NTFS-machtigingen voor een gebruiker of groep te bewerken.

Zoals je misschien ziet, zijn er nogal wat NTFS-machtigingen, dus laten we ze opsplitsen. Eerst zullen we de NTFS-machtigingen bekijken die u in een bestand kunt instellen.

  • Volledig beheer Met kunt u lezen, schrijven, wijzigen, uitvoeren, kenmerken wijzigen, rechten verlenen en het bestand in eigendom nemen.
  • Wijzigen Met kunt u de kenmerken van het bestand lezen, schrijven, wijzigen, uitvoeren en wijzigen.
  • Lees &Uitvoeren biedt u de mogelijkheid om de gegevens, attributen, eigenaar en machtigingen van het bestand weer te geven en het bestand uit te voeren als het een programma betreft.
  • Lezen Met kunt u het bestand openen, de kenmerken, eigenaar en machtigingen bekijken.
  • schrijven Met kunt u gegevens naar het bestand schrijven, toevoegen aan het bestand en de kenmerken ervan lezen of wijzigen.

NTFS Toestemmingen voor mappen hebben iets verschillende opties, dus laten we ze eens bekijken.

  • Volledig beheer stelt u in staat om bestanden in de map te lezen, te schrijven, aan te passen en uit te voeren, attributen te wijzigen, rechten toe te wijzen en eigendom te worden van de map of bestanden in die map.
  • Wijzigen Met kunt u bestanden in de map lezen, schrijven, wijzigen en uitvoeren en de kenmerken van de map of bestanden in die map wijzigen.
  • Lees &Uitvoeren Met kunt u de inhoud van de map weergeven en de gegevens, attributen, eigenaar en machtigingen voor bestanden binnen de map weergeven en bestanden binnen de map uitvoeren.
  • Lijstmapinhoud stelt u in staat de inhoud van de map weer te geven en de gegevens, attributen, eigenaar en machtigingen voor bestanden in de map weer te geven en bestanden in de map uit te voeren.
  • Lezen biedt u de mogelijkheid om de gegevens, attributen en kenmerken van het bestand weer te geven.eigenaar en machtigingen.
  • schrijven Met kunt u gegevens naar het bestand schrijven, toevoegen aan het bestand en de kenmerken ervan lezen of wijzigen.

Samenvatting

Samenvattend zijn gebruikersnamen en groepen representaties van een alfanumerieke reeks genaamd een SID( Security Identifier).Delen en NTFS-machtigingen zijn gekoppeld aan deze SID's. Machtigingen voor shares worden alleen gecontroleerd door de LSSAS wanneer ze via het netwerk worden gebruikt, terwijl NTFS-machtigingen worden gecombineerd met gedeelde machtigingen om een ​​meer gedetailleerd niveau van beveiliging mogelijk te maken voor bronnen die zowel via het netwerk als lokaal toegankelijk zijn.

Toegang krijgen tot een gedeelde bron

Dus nu we hebben geleerd over de twee methoden die we kunnen gebruiken om inhoud op onze pc's te delen, hoe gaan we dan eigenlijk over toegang tot het via het netwerk? Het is erg makkelijk. Typ gewoon het volgende in de navigatiebalk.

\\ computernaam \ sharename

Opmerking: Uiteraard moet je computernaam vervangen door de naam van de pc die de share host en sharenaam voor de naam van de share.

Dit is geweldig voor eenmalige verbindingen, maar hoe zit het in een grotere bedrijfsomgeving? U moet uw gebruikers toch niet leren hoe ze verbinding moeten maken met een netwerkbron met behulp van deze methode. Om dit te omzeilen, wil je een netwerkstation toewijzen voor elke gebruiker, op deze manier kun je hen adviseren hun documenten op te slaan op het "H" -station, in plaats van te proberen uit te leggen hoe je verbinding maakt met een share. Om een ​​schijf in kaart te brengen, opent u Computer en klikt u op de knop "Map netwerkstation".

Typ vervolgens gewoon het UNC-pad van de share.

Je vraagt ​​je waarschijnlijk af of je dat op elke pc moet doen, en gelukkig is het antwoord nee. U kunt eerder een batch-script schrijven om de schijven voor uw gebruikers automatisch aan te melden bij aanmelding en dit via Groepsbeleid te implementeren.

Als we de opdracht ontleden:

  • We gebruiken de net use -opdracht om de schijf in kaart te brengen.
  • We gebruiken de * om aan te geven dat we de volgende beschikbare stationsletter willen gebruiken.
  • Tot slot specificeren we de share waaraan we de schijf willen toewijzen. Merk op dat we citaten hebben gebruikt omdat het UNC-pad spaties bevat.

Encryptie van bestanden met behulp van het coderingsbestandssysteem

Windows biedt de mogelijkheid om bestanden te coderen op een NTFS-volume. Dit betekent dat alleen u de bestanden kunt decoderen en bekijken. Om een ​​bestand te versleutelen, klikt u er eenvoudig op en selecteert u eigenschappen in het contextmenu.

Klik vervolgens op geavanceerd.

Schakel nu het selectievakje Inhoud encryptie versleutelen in en klik vervolgens op OK.

Ga nu door en pas de instellingen toe.

We hoeven het bestand alleen te coderen, maar je hebt ook de optie om de bovenliggende map te versleutelen.

Houd er rekening mee dat zodra het bestand is gecodeerd, het groen wordt.

U zult nu opmerken dat alleen u het bestand kunt openen en dat andere gebruikers op dezelfde pc dit niet kunnen. Het coderingsproces maakt gebruik van codering met openbare sleutels, dus houd uw coderingssleutels veilig. Als je ze verliest, is je bestand verdwenen en kun je het niet meer herstellen.

Homework

  • Meer informatie over toestandsovername en effectieve machtigingen.
  • Lees dit Microsoft-document.
  • Ontdek waarom u BranchCache zou willen gebruiken.
  • Ontdek hoe u printers deelt en waarom u dat wilt.