21Aug

Geek School: Učenie systému Windows 7 - prístup k zdrojom

click fraud protection

V tejto inštalácii Geek School sa pozeráme na virtualizáciu priečinkov, SID a oprávnenie, ako aj systém šifrovania súborov.

Uistite sa, že ste si pozreli predchádzajúce články v tejto sérii Geek School v systéme Windows 7:

  • Predstavujeme Ako Geek School
  • Aktualizácie a migrácie
  • Konfigurácia zariadení
  • Správa diskov
  • Správa aplikácií
  • Správa Internet Explorer
  • IP adresy Základy
  • Networking
  • BezdrôtovéVytváranie sietí
  • Brána firewall systému Windows
  • Vzdialená správa
  • Vzdialený prístup
  • Monitorovanie, výkon a udržiavanie systému Windows

A zostávajte na ladenie po celý zvyšok celého týždňa. Virtualizácia priečinkov

Windows 7 predstavil pojem knižníc, ktorý vám umožnil mať centralizované umiestnenie, z ktorého by ste mohli prezerať zdroje umiestnené inde v počítači. Konkrétne, funkcia knižníc vám umožnila pridať priečinky z ľubovoľného miesta počítača do jednej zo štyroch predvolených knižníc, Dokumenty, Hudba, Videá a Obrázky, ktoré sú ľahko dostupné z navigačnej table Windows Explorer.

instagram viewer

Existujú dve dôležité informácie o funkcii knižnice:

  • Keď pridáte priečinok do knižnice, samotná zložka sa nepohne, vytvorí sa skôr odkaz na umiestnenie priečinka.
  • Ak chcete pridať sieťové zdieľanie do svojich knižníc, musí byť k dispozícii v režime offline, aj keď by ste mohli používať prácu pomocou symbolických odkazov.

Ak chcete pridať priečinok do knižnice, jednoducho prejdite do knižnice a kliknite na odkaz umiestnenia.

Potom kliknite na tlačidlo Pridať.

Teraz vyhľadajte priečinok, ktorý chcete zahrnúť do knižnice, a kliknite na tlačidlo Zahrnúť priečinok.

To je všetko, čo je k tomu.

Bezpečnostný identifikátor

Operačný systém Windows používa identifikátory SID, ktoré reprezentujú všetky bezpečnostné zásady. SID sú len reťazce s premenlivou dĺžkou alfanumerických znakov, ktoré predstavujú stroje, používateľov a skupiny. SID sa pridávajú do zoznamov prístupových práv( zoznamy prístupových práv) vždy, keď udeľujete používateľovi alebo skupinovému povoleniu súbor alebo priečinok. V zákulisí sú SID uložené rovnakým spôsobom ako všetky ostatné dátové objekty: v binárnom. Ak sa však v systéme Windows zobrazí SID, zobrazí sa pomocou čitateľnejšej syntaxe.Často nie je vidieť žiadnu formu SID v systéme Windows;najčastejším scenárom je, keď udeľujete niekomu povolenie na zdroj a potom odstráňte jeho používateľský účet. SID sa potom zobrazí v ACL.Takže sa môžete pozrieť na typický formát, v ktorom uvidíte SID v systéme Windows.

Označenie, ktoré uvidíte, má určitú syntax. Nižšie sú uvedené rôzne časti SID.

  • Predpona 'S'
  • Číslo revízie štruktúry
  • 48-bitová hodnota orgánu identifikátora
  • Premenlivý počet 32-bitových hodnôt podradených oprávnení alebo relatívnych identifikátorov( RID)

Pomocou môjho SID na obrázku nižšie rozbijeme rôznepre lepšie porozumenie.

Štruktúra SID:

'S' - Prvá zložka SID je vždy "S".Toto je predzmluvný pre všetky SID a je tu informovať Windows, že to, čo nasleduje, je SID.
'1' - Druhou súčasťou SID je číslo revízie špecifikácie SID.Ak by sa zmenila špecifikácia SID, poskytla by spätnú kompatibilitu. Od Windows 7 a Server 2008 R2 sa špecifikácia SID stále nachádza v prvej revízii.
'5' - Tretia časť SID sa nazýva Autorizácia identifikátora. Toto definuje, v akom rozsahu bol SID vytvorený.Možné hodnoty pre tieto časti SID môžu byť:

  • 0 - Null Authority
  • 1 - Svetová autorita
  • 2 - Miestna samospráva
  • 3 - Autorita autorov
  • 4 - Nenáročná autorita
  • 5 - NT Autorita

'21 ' - Štvrtou zložkou je sub-authority 1. Hodnota' 21 'sa používa v štvrtom poli, aby sa špecifikovalo, že nasledujúce podriadené orgány identifikujú lokálny počítač alebo doménu.
'1206375286-251249764-2214032401' - Tieto sa nazývajú sub-authority 2,3 a 4, resp. V našom príklade sa toto používa na identifikáciu lokálneho počítača, ale môže to byť aj identifikátor pre doménu.
'1000' - Sub-authority 5 je posledná zložka nášho SID a nazýva sa RID( Relatívny identifikátor).RID sa vzťahuje na každý bezpečnostný princíp: Upozorňujeme, že všetky objekty definované používateľom, ktoré nie sú dodávané spoločnosťou Microsoft, budú mať hodnotu RID 1000 alebo vyššiu.

Bezpečnostné princípy

Princíp bezpečnosti je čokoľvek, čo má pripojený SID.Môžu to byť používatelia, počítače a dokonca aj skupiny. Bezpečnostné princípy môžu byť lokálne alebo v kontexte domény. Spravujete zásady lokálnej bezpečnosti pomocou modulu snap-in Lokálne používatelia a skupiny pod vedením počítača. Ak sa chcete tam dostať, kliknite pravým tlačidlom na skratku počítača v ponuke Štart a zvoľte správu.

Ak chcete pridať nový princíp bezpečnosti používateľa, môžete prejsť do priečinka Users a kliknúť pravým tlačidlom myši a vybrať Nový používateľ.

Ak dvakrát kliknete na používateľa, môžete ho pridať do skupiny zabezpečenia na karte Člen.

Ak chcete vytvoriť novú skupinu zabezpečenia, prejdite do priečinka Skupiny na pravej strane. Kliknite pravým tlačidlom na biely priestor a vyberte možnosť Nová skupina.

Povolenia na zdieľanie a povolenie NTFS

V systéme Windows existujú dva typy oprávnení na súbory a priečinky. Po prvé, existujú povolenia na zdieľanie. Po druhé, existujú oprávnenia systému NTFS, ktoré sa tiež nazývajú povolenia na zabezpečenie. Zabezpečenie zdieľaných priečinkov sa zvyčajne vykonáva s kombináciou oprávnení na zdieľanie a NTFS.Pretože je to tak, je nevyhnutné pamätať na to, že platí najviac obmedzujúce povolenie. Ak napríklad povolenie na zdieľanie poskytuje povolenie na čítanie podľa zásady Everyone, ale povolenie NTFS umožňuje používateľom vykonať zmenu v súbore, bude mať prednosť povolenie na zdieľanie a používatelia nebudú môcť vykonať zmeny. Keď nastavíte povolenia, LSASS( Local Security Authority) riadi prístup k prostriedku. Keď sa prihlásite, dostanete prístupový token s vaším identifikátorom SID.Keď prejdete na prístup k prostriedku, LSASS porovná SID, ktorý ste pridali do zoznamu prístupových práv ACL.Ak je SID v ACL, určuje, či povoliť alebo odmietnuť prístup. Bez ohľadu na to, aké povolenia používate, existujú rozdiely, takže sa pozrite na lepšie pochopenie toho, kedy by sme mali použiť čo.

Povolenia na zdieľanie:

  • Použiť len pre používateľov, ktorí pristupujú k prostriedku v sieti. Neaplikujú sa, ak sa prihlásite na miestnej úrovni, napríklad prostredníctvom terminálnych služieb.
  • Vzťahuje sa na všetky súbory a priečinky v zdieľanom prostriedku. Ak chcete poskytnúť granulárnejšiu schému obmedzenia, mali by ste okrem zdieľaných povolení používať aj povolenie NTFS
  • Ak máte akékoľvek zväzky naformátované vo formáte FAT alebo FAT32, bude to len forma obmedzenia, ktoré máte k dispozícii, pretože oprávnenia NTFS nie súk dispozícii v týchto súborových systémoch.

Povolenia NTFS:

  • Jediným obmedzením oprávnení NTFS je to, že je možné nastaviť iba na zväzok, ktorý je naformátovaný do súborového systému NTFS
  • Pamätajte, že oprávnenia NTFS sú kumulatívne. To znamená, že efektívne povolenia používateľa sú výsledkom kombinácie pridelených oprávnení používateľa a oprávnení všetkých skupín, do ktorých používateľ patrí.

Nové povolenia na zdieľanie

Windows 7 si kúpili novú techniku ​​zdieľania. Možnosti sa zmenili z Čítať, Zmeniť a Úplné ovládanie na Čítanie a Čítanie / Zápis. Táto myšlienka bola súčasťou celej mentality domácej skupiny a uľahčuje zdieľanie priečinkov pre ľudí bez počítača gramotnosti. To sa deje pomocou kontextovej ponuky a zdieľa s domácou skupinou ľahko.

Ak ste chceli zdieľať s niekým, kto nie je v domácej skupine, môžete vždy vybrať možnosť "Osoby špecifické. ..".Ktoré by priniesli viac "prepracovaný" dialóg, v ktorom by ste mohli špecifikovať používateľa alebo skupinu.

Existujú iba dve povolenia, ako bolo uvedené vyššie. Spoločne poskytujú ochranu vašich priečinkov a súborov.

  1. Read permission je voľba "look, do not touch".Príjemcovia môžu otvárať súbor, ale nesmú ho meniť ani mazať.
  2. Čítanie / zápis je voľba "robiť čokoľvek".Príjemcovia môžu otvoriť, upraviť alebo odstrániť súbor.

Povolenie pre staré školy

Dialógové okno o starom zdieľaní malo viac možností, napríklad možnosť zdieľať priečinok pod iným aliasom. Umožnilo nám obmedziť počet súčasných pripojení a konfigurovať ukladanie do vyrovnávacej pamäte.Žiadna z týchto funkcií nie je v systéme Windows 7 stratená, ale je skrytá pod možnosťou "Rozšírené zdieľanie".Ak kliknete pravým tlačidlom myši na priečinok a prejdete na jeho vlastnosti, nájdete tieto nastavenia "Rozšírené zdieľanie" na karte zdieľania.

Ak kliknete na tlačidlo "Rozšírené zdieľanie", ktoré vyžaduje poverenia miestneho správcu, môžete nakonfigurovať všetky nastavenia, ktoré ste poznali v predchádzajúcich verziách systému Windows.

Ak kliknete na tlačidlo povolenia, zobrazí sa vám 3 nastavenia, ktoré všetci poznáme.

    • Čítanie povolenie vám umožňuje prezerať a otvárať súbory a podadresáre, rovnako ako spúšťať aplikácie. Nepovoľuje však žiadne zmeny.
    • Upraviť povolenie umožňuje vykonať čokoľvek, čo povolenie Read dovoľuje a tiež pridáva schopnosť pridať súbory a podadresáre, odstrániť podsložky a zmeniť dáta v súboroch.
    • Úplné riadenie je "robiť čokoľvek" z klasických oprávnení, pretože umožňuje vykonať akékoľvek predchádzajúce povolenia. Okrem toho vám dáva rozšírené zmeny oprávnenia NTFS, ale to platí len pre priečinky NTFS

Povolenia NTFS

Povolenia NTFS umožňujú veľmi zrozumiteľnú kontrolu nad vašimi súbormi a priečinkami. S tým, že množstvo granularity môže byť pre nováčikov skľučujúce. Môžete tiež nastaviť povolenie NTFS na základe súboru, ako aj podľa jednotlivých priečinkov. Ak chcete nastaviť oprávnenie NTFS v súbore, mali by ste kliknúť pravým tlačidlom a prejsť na vlastnosti súboru a potom prejsť na kartu zabezpečenia.

Ak chcete upraviť oprávnenia NTFS pre používateľa alebo skupinu, kliknite na tlačidlo Upraviť.

Ako môžete vidieť, existuje dostatok oprávnení NTFS, takže ich rozdelíme. Najprv sa pozrieme na oprávnenia systému NTFS, ktoré môžete nastaviť v súbore.

  • Úplné ovládanie umožňuje čítať, písať, upravovať, vykonávať, meniť atribúty, oprávnenia a prevzatie vlastníctva súboru.
  • Modifikácia umožňuje čítať, písať, upravovať, vykonávať a meniť atribúty súboru.
  • Prečítajte si &Spustiť vám umožní zobraziť údaje súboru, atribúty, vlastníka a povolenia a spustiť súbor, ak je to program.
  • Read vám umožní otvoriť súbor, zobraziť jeho atribúty, vlastníka a povolenia.
  • Napíšte vám umožní zapísať dáta do súboru, pridať do súboru a prečítať alebo zmeniť jeho atribúty.

NTFS Povolenia pre priečinky majú mierne odlišné možnosti, takže ich môžete pozrieť.

  • Full Control vám umožní čítať, písať, upravovať a vykonávať súbory v priečinku, meniť atribúty, oprávnenia a prevzatie vlastníctva priečinka alebo súborov v rámci.
  • Modifikácia vám umožní čítať, písať, upravovať a vykonávať súbory v priečinku a meniť atribúty priečinka alebo súborov v rámci.
  • Prečítajte &Spustiť vám umožní zobraziť obsah priečinka a zobraziť dáta, atribúty, vlastníka a oprávnenia pre súbory v priečinku a spustiť súbory v priečinku.
  • Zoznam zložiek zoznamov vám umožní zobraziť obsah priečinka a zobraziť dáta, atribúty, vlastníka a oprávnenia pre súbory v priečinku a spustiť súbory v priečinku
  • Read vám umožní zobraziť dáta, atribúty,vlastníka a povolenia.
  • Write vám umožní zapísať dáta do súboru, pridať do súboru a prečítať alebo zmeniť jeho atribúty.

Zhrnutie

Súhrnne, používateľské mená a skupiny sú reprezentácie alfanumerického reťazca s názvom SID( Security Identifier).Zdieľanie a oprávnenia NTFS sú viazané na tieto SID.Povolenia na zdieľanie sú skontrolované spoločnosťou LSSAS iba vtedy, keď sú prístupné cez sieť, zatiaľ čo oprávnenia systému NTFS sa kombinujú s oprávneniami na zdieľanie, čo umožňuje väčšiu úroveň zabezpečenia prístupu k zdrojom v sieti aj lokálne.

Prístup k zdieľanému prostriedku

Takže teraz, keď sme sa dozvedeli o dvoch metódach, ktoré môžeme použiť na zdieľanie obsahu na našich počítačoch, ako sa vlastne snažíte pristupovať cez sieť?Je to veľmi jednoduché.Do navigačného panela zadajte nasledujúce.

\\ názov_počítača \ sharename

Poznámka: Je zrejmé, že budete musieť nahradiť názov počítača pre názov počítača, ktorý je hostiteľom zdieľania a názov zdieľaného názvu, pre názov podielu.

To je skvelé pre jednorazové pripojenia, ale čo vo väčšom podnikovom prostredí?Určite nemusíte učiť svojich používateľov, ako sa pripojiť k sieťovému zdroju pomocou tejto metódy. Ak sa chcete o tom pokúsiť, budete chcieť mapovať sieťovú jednotku pre každého používateľa. Týmto spôsobom im môžete poradiť, aby uložili svoje dokumenty na jednotke "H", než aby sa pokúsili vysvetliť, ako sa pripojiť k zdieľaniu. Ak chcete namapovať jednotku, otvorte počítač a kliknite na tlačidlo "Mapová sieťová jednotka".

Potom jednoducho zadajte cestu UNC zdieľania.

Pravdepodobne sa zaujímate, či to musíte urobiť na každom počítači, a našťastie odpoveď nie je. Môžete skôr napísať dávkový skript, pomocou ktorého automaticky mapujete jednotky používateľom pri prihlásení a nasadíte ich pomocou Zásady skupiny.

Ak rozbijme príkaz:

  • Používame príkaz čistého použitia na mapovanie jednotky.
  • * používame na označenie toho, že chceme použiť ďalšie písmeno jednotky.
  • Nakoniec špecifikujeme podiel , na ktorý chceme namapovať disk. Všimnite si, že sme použili úvodzovky, pretože cesta UNC obsahuje medzery.

Šifrovanie súborov pomocou systému šifrovania súborov

Systém Windows obsahuje možnosť šifrovania súborov na zväzku NTFS.To znamená, že iba vy budete môcť dešifrovať súbory a zobraziť ich. Ak chcete zašifrovať súbor, jednoducho kliknite naň pravým tlačidlom myši a vyberte vlastnosti z kontextového menu.

Potom kliknite na pokročilé.

Začiarknite políčko Šifrovať obsah na zabezpečené dáta a potom kliknite na tlačidlo OK.

Teraz pokračujte a použite nastavenia.

Stačí iba zašifrovať súbor, ale máte možnosť šifrovať aj nadradenú zložku.

Vezmite na vedomie, že akonáhle je súbor zašifrovaný, zmení sa na zelenú.

Zistíte, že iba súbor budete môcť otvoriť a ostatní používatelia na tom istom počítači nebudú môcť.Proces šifrovania používa šifrovanie s verejným kľúčom, takže nechajte šifrovacie kľúče v bezpečí.Ak ich stratíte, váš súbor je preč a nie je možné ho obnoviť.

Úloha

  • Ďalšie informácie o dedičstve a efektívne povolenie.
  • Prečítajte si tento dokument spoločnosti Microsoft.
  • Zistite, prečo by ste chceli používať BranchCache.
  • Naučte sa zdieľať tlačiarne a prečo by ste chceli.