7Jul

Kako razumeti te zmede Windows 7 File / Share Dovoljenja

Ste že kdaj poskusili ugotoviti vsa dovoljenja v operacijskem sistemu Windows? Obstajajo dovoljenja za skupno rabo, dovoljenja NTFS, seznami za nadzor dostopa in drugo. Evo, kako vsi delajo skupaj.

Varnostni identifikator

Operacijski sistemi Windows uporabljajo SID, da predstavljajo vsa varnostna načela. SID so le spremenljivi dolžinski nizi alfanumeričnih znakov, ki predstavljajo stroje, uporabnike in skupine. SID-ji se dodajo v ACL( seznami za nadzor dostopa) vsakič, ko uporabniku ali skupini dovolite datoteko ali mapo. Za scene so SID shranjeni na enak način kot vsi drugi podatkovni objekti, v binarni obliki. Vendar, ko vidite SID v operacijskem sistemu Windows, se bo prikazal z bolj berljivo sintakso. Ni pogosto, da boste videli kakšno obliko SID v operacijskem sistemu Windows, najpogostejši scenarij je, ko nekdo dodelite dovoljenje viru, nato pa se njihov uporabniški račun izbriše, nato pa se prikaže kot SID v ACL.Torej si lahko ogledate tipično obliko, v kateri boste videli SID v operacijskem sistemu Windows.

Oznaka, ki jo boste videli, ima določeno sintakso, spodaj so različni deli SID-a v tej notaciji.

  1. Predpono 'S'
  2. Številka revizije strukture
  3. 48-bitna identifikacijska vrednost organa
  4. Spremenljivo število 32-bitnih podrejenih in relativnih identifikatorjev( RID) vrednosti

S pomočjo mojega SID-a na spodnji sliki bomo razčlenili različneza boljše razumevanje.

Struktura SID:

'S' - Prva komponenta SID je vedno 'S'.To je predpone za vse SID-je in je tam, da obvesti Windows, da sledi je SID.
'1' - Druga komponenta SID-a je številka revizije specifikacije SID, če bi bila specifikacija SID, da bi jo spremenila, zagotovila združljivost nazaj. Od Windows 7 in Server 2008 R2 je specifikacija SID še vedno v prvi reviziji.
'5' - Tretji del SID se imenuje Identifikacijski organ. To opredeljuje, v kakšnem obsegu je bil SID ustvarjen. Možne vrednosti za ta razdelek SID so lahko:

  1. 0 - Null Authority
  2. 1 - Svetovna agencija
  3. 2 - Lokalna oblast
  4. 3 - Organ za avtorizacijo
  5. 4 - Neovisna oblast
  6. 5 - NT Authority

'21' -Četrta komponenta je sub-avtoriteta 1, v četrtem polju se uporabi vrednost "21", da se določi, ali podskupine, ki sledijo, označujejo lokalni računalnik ali domeno.
"1206375286-251249764-2214032401" - ti se imenujejo sub-avtoriteta 2,3 oziroma 4.V našem primeru se to uporablja za identifikacijo lokalnega stroja, lahko pa je tudi identifikator za domeno.
'1000' - Podskupina 5 je zadnja komponenta v našem SID in se imenuje RID( Relativni identifikator), RID je relativno glede na vsako varnostno načelo, upoštevajte, da so vsi uporabniško definirani predmeti, tisti, ki niso poslaniMicrosoft bo imel RID 1000 ali več.

varnostna načela

Varnostno načelo je vse, kar ima SID priložen k temu, to so lahko uporabniki, računalniki in celo skupine. Varnostna načela so lahko lokalna ali v domeni. Lokalna varnostna načela upravljate s snap-inom za lokalne uporabnike in skupine, pod upravljanjem računalnika.Če želite priti v desno miškino tipko kliknite bližnjico računalnika v začetnem meniju in izberite Upravljanje.

Če želite dodati novo načelo varnosti uporabnika, lahko odprete mapo uporabnikov in z desnim gumbom kliknete in izberete novega uporabnika.

Če dvokliknete uporabnika, ga lahko dodate v varnostno skupino na kartici »Članica«.

Če želite ustvariti novo varnostno skupino, se pomaknite do mape Skupine na desni strani. Desni klik na beli prostor in izberite novo skupino.

Dovoljenja za skupno rabo in dovoljenje NTFS

V operacijskem sistemu Windows sta dve vrsti dovoljenj za datoteke in mape, najprej so dovoljenja za skupno rabo in drugič so dovoljenja NTFS, imenovana tudi Varnostna dovoljenja. Upoštevajte, da ko privzeto delite mapo, je skupini »Vsakdo« dodeljeno dovoljenje za branje. Varnost v mapah se ponavadi naredi s kombinacijo Delež in NTFS Dovoljenje, če je to v primeru, da je nujno zapomniti, da velja vedno najbolj restriktivno, na primer, če je dovoljenje za skupno rabo nastavljeno na Vsakdo = Read( kar je privzeto),vendar dovoljenje NTFS dovoljuje uporabnikom, da spremenijo datoteko, dovoljenje za skupno rabo prevzame prednost in uporabnikom ne bo dovoljeno spreminjati. Ko nastavite dovoljenja, LSASS( Local Security Authority) nadzoruje dostop do vira. Ko se prijavite, vam je na voljo žeton za dostop z vašim SID-om, ko gre za dostop do vira, LSASS primerja SID, ki ste ga dodali v ACL( seznam za nadzor dostopa), in če je SID v ACL,dovolite ali onemogočite dostop. Ne glede na to, katera dovoljenja uporabljate, obstajajo razlike, zato si oglejte, kako bolje razumeti, kdaj naj uporabimo kaj.

Dovoljenja za skupno rabo:

  1. Uporabljajo se samo za uporabnike, ki dostopajo do vira prek omrežja. Ne uporabljajo se, če se prijavljate lokalno, na primer prek terminalskih storitev.
  2. Velja za vse datoteke in mape v skupnem viru.Če želite zagotoviti bolj granularno vrsto omejitvene sheme, morate poleg dovoljenj v skupni rabi uporabljati tudi dovoljenje NTFS
  3. Če imate določene oblike zapisa FAT ali FAT32, bo to edina oblika omejitev, ki vam je na voljo, saj dovoljenja NTFS nisona voljo v teh datotečnih sistemih.

NTFS Dovoljenja:

  1. Edina omejitev dovoljenj NTFS je, da jih je mogoče nastaviti le na obseg, ki je formatiran v datotečnem sistemu NTFS.
  2. Ne pozabite, da so NTFS kumulativni, kar pomeni, da so uporabniška dovoljenja dovoljena kot posledica kombinacije dodeljenih uporabnikovdovoljenj in dovoljenj vseh skupin, ki jih uporabnik pripada.

Nova Share Dovoljenja

Windows 7 je kupila po novi "enostavni" delniški tehniki. Možnosti so se spremenile iz Read, Change in Full Control v. Branje in branje / pisanje. Ideja je bila del celotne miselnosti domače skupine in omogoča enostavno deljenje mape za ne-računalniško pismene ljudi. To se naredi prek kontekstnega menija in se z lahkoto deli z domačo skupino.

Če želite deliti z osebo, ki ni v domači skupini, lahko vedno izberete možnost »Posebni ljudje. ..«.Kar bi prineslo bolj "izdelano" pogovorno okno. Kje lahko določite določenega uporabnika ali skupine.

Obstajata samo dve dovoljenji, kot že omenjeno, skupaj ponujajo vse ali nič zaščitni sistem za svoje mape in datoteke.

  1. Preberi dovoljenje je možnost "glej, ne dotikajte se".Prejemniki lahko odprejo, vendar ne spreminjajo ali izbrišejo datoteke.
  2. branje / pisanje je možnost »naredi kaj«.Prejemniki lahko odprejo, spremenijo ali izbrišejo datoteko.

Starejša šola

Starejše pogovorno okno z več možnostmi in nam omogočilo, da delimo mapo pod drugačnim vzdevkom, nam je omogočilo omejiti število hkratnih povezav in konfigurirati predpomnjenje. Nobena od teh funkcij ni izgubljena v sistemu Windows 7, temveč je skrita pod možnostjo »Napredno skupna raba«.Če z desno miškino tipko kliknete na mapo in pojdite na njegove lastnosti, jih lahko najdete pod nastavitvami na kartici »Sharing«.

Če kliknete gumb »Napredno skupna raba«, ki zahteva lokalne poverilnice skrbnika, lahko nastavite vse nastavitve, ki ste jih poznali v prejšnjih različicah sistema Windows.

Če kliknete gumb za dovoljenja, boste prejeli 3 nastavitve, ki jih vsi poznavamo.

  1. Preberi dovoljenje vam omogoča ogled in odpiranje datotek in poddirektorij ter izvajanje programov. Vendar ne dovoljuje nobenih sprememb.
  2. Spremeni dovoljenje vam omogoča, da storite vse, kar dovoljuje Read dovoljenje, dodaja tudi možnost dodajanja datotek in poddirektorij, brisanje podmap in spreminjanje podatkov v datotekah.
  3. Full Control je "naredi kaj" klasičnih dovoljenj, saj vam omogoča, da naredite katerokoli in vsa prejšnja dovoljenja. Poleg tega vam omogoča napredne spremembe NTFS Dovoljenja, to velja le za NTFS Folders

NTFS Dovoljenja

NTFS Dovoljenje omogoča zelo granularni nadzor nad vašimi datotekami in mapami. S tem je dejal, da je količina granularnosti zastrašujoča za novega. Prav tako lahko nastavite dovoljenje NTFS za posamezno datoteko in za vsako mapo.Če želite nastaviti NTFS Dovoljenje v datoteki, morate z desno miškino tipko klikniti lastnosti datotek, kjer boste morali iti na varnostni zavihek.

Če želite urediti dovoljenja NTFS za uporabnika ali skupine, kliknite gumb za urejanje.

Kot vidite, je veliko dovoljenj NTFS, zato jih razbijemo. Najprej bomo pogledali dovoljenja NTFS, ki jih lahko nastavite v datoteki.

  1. Full Control vam omogoča branje, pisanje, spreminjanje, izvajanje, spreminjanje atributov, dovoljenj in prevzemanje lastništva datoteke.
  2. Modify vam omogoča branje, pisanje, spreminjanje, izvajanje in spreminjanje atributov datoteke.
  3. Read &Izvedi vam bo omogočil prikaz podatkov, atributov, lastnika in dovoljenj datoteke ter zagnati datoteko, če je ta program.
  4. Preberi vam bo omogočil odpiranje datoteke, ogled njegovih atributov, lastnika in dovoljenj.
  5. Napiši vam bo omogočil pisanje podatkov v datoteko, dodajanje v datoteko in branje ali spreminjanje njegovih lastnosti.

NTFS Dovoljenja za mape imajo nekoliko drugačne možnosti, tako da jih lahko ogledate.

  1. Full Control omogoča branje, pisanje, spreminjanje in izvajanje datotek v mapi, spreminjanje atributov, dovoljenj in prevzemanje lastništva nad mapo ali datotekami znotraj.
  2. Modify vam omogoča branje, pisanje, spreminjanje in izvajanje datotek v mapi ter spreminjanje atributov mape ali datotek znotraj.
  3. Read &Izvedi vam bo omogočil prikaz vsebine mape in prikaz podatkov, atributov, lastnika in dovoljenj za datoteke v mapi ter zagnati datoteke v mapi. Vsebina seznama
  4. List Folder vam bo omogočila prikaz vsebine mape in prikaz podatkov, atributov, lastnika in dovoljenj za datoteke v mapi.
  5. Preberi vam bo omogočil prikaz podatkov, atributov, lastnika in dovoljenj datoteke.
  6. Napiši vam bo omogočil pisanje podatkov v datoteko, dodajanje v datoteko in branje ali spreminjanje njegovih lastnosti.

Dokumentacija Microsofta navaja tudi, da vam bo "Vsebina map s seznama" omogočala izvajanje datotek v mapi, vendar boste morali še vedno omogočiti "Read &Izvedi ", da bi to storili. To je zelo zmedeno dokumentirano dovoljenje.

Povzetek

Če povzamemo, uporabniška imena in skupine predstavljajo alfanumerični niz, imenovan SID( Varnostni identifikator), Share in NTFS Dovoljenja so povezani s temi SID-ji. Dovoljenja za skupno rabo LSSAS preveri le, če so dostopne prek omrežja, medtem ko so dovoljenja NTFS veljavne samo na lokalnih računalnikih. Upam, da boste vsi dobro razumeli, kako se izvaja varnost in zaščita datotek in map v operacijskem sistemu Windows 7.Če imate kakršna koli vprašanja, vas prosimo, da se opomnite.