21Aug

Geek School: učenje Windows 7 - dostop do virov

V tej namestitvi Geek šole si oglejte Folder Virtualization, SID in dovoljenje ter šifrirni datotečni sistem.

Preverite prejšnje članke v tej seriji Geek šole v operacijskem sistemu Windows 7:

  • Predstavljamo kako naj Geek šola
  • Nadgradi in migracije
  • Konfiguriranje naprav
  • Upravljanje diskov
  • Upravljanje aplikacij
  • Upravljanje Internet Explorerja
  • Osnove IP naslavljanja
  • Omrežje
  • WirelessOmrežje
  • Požarni zid Windows
  • Oddaljeno upravljanje
  • Oddaljeni dostop
  • Nadzor, učinkovitost in vzdrževanje Windows do datuma

In vse ostalo v tednu ostanejo na voljo za preostalo serijo.

Folder Virtualization

Windows 7 je predstavil pojem knjižnic, ki so vam omogočale, da imate centralizirano lokacijo, iz katere si lahko ogledate vire, ki se nahajajo drugje na vašem računalniku. Natančneje, funkcija knjižnic je omogočila dodajanje map od koder koli v računalniku v eno od štirih privzetih knjižnic, dokumentov, glasbe, videoposnetkov in slik, ki so lahko dostopne iz podokna za krmarjenje programa Windows Explorer.

Obstajata dve pomembni stvari, ki jih je treba zabeležiti glede funkcije knjižnice:

  • Ko dodate mapo v knjižnico, se mapa sam ne premakne, temveč se na lokacijo mape ustvari povezava.
  • Če želite v svoje knjižnice dodati omrežni delež, mora biti na voljo brez povezave, čeprav bi lahko uporabili tudi delo z uporabo simbolnih povezav.

Če želite dodati mapo v knjižnico, preprosto vstopite v knjižnico in kliknite povezavo lokacij.

Nato kliknite gumb za dodajanje.

Zdaj poiščite mapo, ki jo želite vključiti v knjižnico, in kliknite gumb Vključi mapo.

To je vse, kar je za to.

Varnostni identifikator

Operacijski sistem Windows uporablja SID, da predstavlja vsa varnostna načela. SID so le spremenljivi dolžinski nizi alfanumeričnih znakov, ki predstavljajo stroje, uporabnike in skupine. SID-ji se dodajo v ACL( seznami za nadzor dostopa) vsakič, ko uporabniku ali skupini dovolite datoteko ali mapo. Za prizori so SID shranjeni na enak način kot vsi drugi podatkovni objekti: v binarnih datotekah. Vendar, ko vidite SID v operacijskem sistemu Windows, se bo prikazal z bolj berljivo sintakso. Ni pogosto, da boste videli kakšno obliko SID v operacijskem sistemu Windows;najpogostejši scenarij je, ko nekdo odobri viru in nato izbrišete svoj uporabniški račun. SID bo nato prikazan v ACL.Torej si lahko ogledate tipično obliko, v kateri boste videli SID v operacijskem sistemu Windows.

Oznaka, ki jo boste videli, ima določeno skladnjo. Spodaj so različni deli SID-a.

  • Predpono 'S'
  • Številka revizije strukture
  • 48-bitna pooblastilna vrednost
  • Spremenljivko števila 32-bitnih podredil ali relativnih identifikatorjev( RID) vrednosti

Z uporabo mojega SID-a na spodnji sliki bomo razčlenili različneza boljše razumevanje.

Struktura SID:

'S' - Prva komponenta SID je vedno 'S'.To je predpone za vse SID-je in je tam, da obvesti Windows, da sledi je SID.
'1' - Druga komponenta SID je številka revizije specifikacije SID.Če bi specifikacija SID spremenila, bi zagotovila združljivost nazaj. Glede na Windows 7 in Server 2008 R2 je specifikacija SID še vedno v prvi reviziji.
'5' - Tretji del SID-ja se imenuje Identifikacijski organ. To opredeljuje, v kakšnem obsegu je bil SID ustvarjen. Možne vrednosti za ta razdelek SID so lahko:

  • 0 - Null Authority
  • 1 - Svetovna uprava
  • 2 - Lokalna oblast
  • 3 - Organ za avtorizacijo
  • 4 - Neovisna oblast
  • 5 - Organ NT

'21' - četrti sestavni del je podredovalnica 1. V četrtem polju se uporablja vrednost "21", da se določi, ali podskupine, ki sledijo, prepoznajo lokalni računalnik ali domeno.
'1206375286-251249764-2214032401' - ti se imenujejo sub-avtoriteta 2,3 oziroma 4.V našem primeru se to uporablja za identifikacijo lokalnega stroja, lahko pa je tudi identifikator za domeno.
'1000' - Podlaga 5 je zadnja komponenta v našem SID in se imenuje RID( Relativni identifikator).RID je glede na vsako varnostno načelo: upoštevajte, da bodo vsi uporabniško definirani predmeti, ki jih ne pošilja Microsoft, imeli RID 1000 ali več.

varnostna načela

Varnostno načelo je vse, s katerim je SID priložen. To so lahko uporabniki, računalniki in celo skupine. Varnostna načela so lahko lokalna ali v domeni. Lokalna varnostna načela upravljate s snap-inom za lokalne uporabnike in skupine, pod upravljanjem računalnika.Če želite tja priti, z desno miškino tipko kliknite bližnjico računalnika v meniju Start in izberite Upravljanje.

Če želite dodati novo načelo varnosti uporabnika, lahko odprete mapo Uporabniki in z desnim gumbom kliknete in izberete Nov uporabnik.

Če dvokliknete uporabnika, ga lahko dodate v varnostno skupino na kartici »Članica«.

Če želite ustvariti novo varnostno skupino, se pomaknite do mape Skupine na desni strani. Desni klik na beli prostor in izberite Nova skupina.

Dovoljenja za skupno rabo in dovoljenje NTFS

V operacijskem sistemu Windows sta dve vrsti dovoljenj za datoteke in mape. Prvič, obstajajo dovoljenje za skupno rabo. Drugič, obstajajo dovoljenja NTFS, ki se imenujejo tudi varnostna dovoljenja. Zagotavljanje map v skupni rabi se običajno opravi s kombinacijo dovoljenj za skupno rabo in NTFS.Ker je to tako, je nujno vedeti, da se najbolj omejevalno dovoljenje vedno uporablja.Če dovoljenje za skupno rabo na primer daje dovoljenje za skupno branje za dovoljenje za branje vseh, toda dovoljenje NTFS dovoljuje uporabnikom, da spremenijo datoteko, bo imelo dovoljenje za skupno rabo prednost, uporabniki pa ne bodo mogli spreminjati. Ko nastavite dovoljenja, LSASS( lokalni varnostni organ) nadzoruje dostop do vira. Ko se prijavite, vam je na voljo žeton za dostop s svojim SID-om. Ko greste za dostop do vira, LSASS primerja SID, ki ste ga dodali v ACL( seznam za nadzor dostopa).Če je SID na ACL, ugotovi, ali naj dovolijo ali zavrnejo dostop. Ne glede na to, katera dovoljenja uporabljate, obstajajo razlike, zato si oglejmo, kako bolje razumemo, kdaj naj uporabimo kaj.

Dovoljenja za skupno rabo:

  • Uporabljajo se samo za uporabnike, ki dostopajo do vira prek omrežja. Ne uporabljajo se, če se prijavljate lokalno, na primer prek terminalskih storitev.
  • Velja za vse datoteke in mape v skupnem viru.Če želite zagotoviti bolj granularno vrsto omejitvene sheme, morate poleg dovoljenj v skupni rabi uporabljati tudi dovoljenje NTFS
  • Če imate določene oblike zapisa FAT ali FAT32, bo to edina oblika omejitev, ki vam je na voljo, saj dovoljenja NTFS nisona voljo v teh datotečnih sistemih.

NTFS Dovoljenja:

  • Edina omejitev dovoljenj NTFS je, da jih je mogoče nastaviti le na obseg, ki je formatiran v datotečnem sistemu NTFS
  • Ne pozabite, da so dovoljenja NTFS kumulativna. To pomeni, da so uporabnikova učinkovitost dovoljenja posledica združevanja uporabniških dovoljenj in dovoljenj vseh skupin, ki jih uporabnik pripada.

Nova dovoljenja za skupno rabo

Windows 7 so kupili po novi "enostavni" tehniki deljenja. Možnosti so se spremenile iz Read, Change in Full Control v Read and Read / Write. Ideja je bila del celotne miselnosti Homegroup-a in omogoča enostavno delitev mape za ne-računalniško pismene ljudi. To se naredi prek kontekstnega menija in preprosto deli z domačo skupino.

Če želite deliti z osebo, ki ni v domači skupini, lahko vedno izberete možnost »Posebni ljudje. ..«.Kar bi prineslo bolj "podrobno" pogovorno okno, kjer bi lahko določili uporabnika ali skupino.

Obstajata samo dve dovolitvi, kot je bilo prej omenjeno. Skupaj ponujajo vse ali nič zaščitni sistem za svoje mape in datoteke.

  1. Preberi dovoljenje je možnost "glej, ne dotikajte se".Prejemniki lahko odprejo, vendar ne spreminjajo ali izbrišejo datoteke.
  2. Prebiranje / pisanje je možnost "naredi kaj".Prejemniki lahko odprejo, spremenijo ali izbrišejo datoteko.

Dovoljenje za stara šola

V starem pogovornem oknu z drugimi je bilo na voljo več možnosti, na primer možnost, da mapo delite pod drugim vzdevkom. Omogočilo nam je omejiti število hkratnih povezav in konfigurirati predpomnjenje. Nobena od teh funkcij ni izgubljena v operacijskem sistemu Windows 7, temveč je skrita pod možnostjo »Napredno skupna raba«.Če z desno miškino tipko kliknete na mapo in pojdite na njegove lastnosti, jih lahko najdete pod nastavitvami na kartici »Sharing«.

Če kliknete gumb »Advanced Sharing«, ki zahteva lokalne poverilnice skrbnika, lahko nastavite vse nastavitve, ki ste jih poznali v prejšnjih različicah sistema Windows.

Če kliknete gumb za dovoljenja, vam bodo predstavljene 3 nastavitve, ki jih vsi poznavamo.

    • Preberite dovoljenje za ogled in odpiranje datotek in poddirektorij ter izvajanje programov. Vendar ne dovoljuje nobenih sprememb.
    • Spremeni dovoljenje vam omogoča, da naredite karkoli, kar dovoljuje Read dovoljenje, in dodaja tudi možnost dodajanja datotek in poddirektorij, brisanje podmap in spreminjanje podatkov v datotekah.
    • Full Control je "naredi kaj" klasičnih dovoljenj, saj vam omogoča, da naredite katerokoli in vsa prejšnja dovoljenja. Poleg tega vam omogoča naprednejšo spreminjanje dovoljenja za NTFS, vendar to velja samo za NTFS Folders

NTFS Permissions

NTFS Dovoljenja omogočajo zelo natančen nadzor nad vašimi datotekami in mapami. Glede na to je lahko količina granularnosti zastrašujoča za novega. Prav tako lahko nastavite dovoljenje NTFS za posamezno datoteko in za vsako mapo.Če želite nastaviti dovoljenje NTFS v datoteki, morate z desno miškino tipko klikniti in pojdite na lastnosti datoteke, nato pa pojdite na varnostni zavihek.

Če želite urediti dovoljenja NTFS za uporabnika ali skupine, kliknite gumb za urejanje.

Kot lahko vidite, je veliko dovoljenj NTFS, zato jih razbijemo. Najprej bomo pogledali dovoljenja NTFS, ki jih lahko nastavite v datoteki.

  • Full Control vam omogoča branje, pisanje, spreminjanje, izvajanje, spreminjanje atributov, dovoljenj in prevzemanje lastništva datoteke.
  • Spremeni omogoča branje, pisanje, spreminjanje, izvajanje in spreminjanje atributov datoteke.
  • Read &Execute vam bo omogočil prikaz podatkov, atributov, lastnika in dovoljenj datoteke in zagnati datoteko, če gre za program.
  • Preberite vam omogoči, da odprete datoteko, si ogledate njegove atribute, lastnika in dovoljenja.
  • Pisanje vam bo omogočilo pisanje podatkov v datoteko, dodajanje v datoteko in branje ali spreminjanje njegovih lastnosti.

NTFS Dovoljenja za mape imajo nekoliko drugačne možnosti, zato si jih oglejte.

  • Full Control vam omogoča branje, pisanje, spreminjanje in izvajanje datotek v mapi, spreminjanje atributov, dovoljenj in prevzemanje lastništva nad mapo ali datotekami znotraj.
  • Spremeni vam bo omogočil branje, pisanje, spreminjanje in izvajanje datotek v mapi ter spreminjanje atributov mape ali datotek znotraj.
  • Read &Execute vam bo omogočil prikaz vsebine mape in prikaz podatkov, atributov, lastnika in dovoljenj za datoteke v mapi ter zagnati datoteke v mapi.
  • Vsebina seznama map vam bo omogočila prikaz vsebine mape in prikaz podatkov, atributov, lastnika in dovoljenj za datoteke v mapi in zagnati datoteke v mapi
  • Preberite vam bo omogočil prikaz podatkov, atributov,lastnika in dovoljenj.
  • Write vam bo omogočil pisanje podatkov v datoteko, dodajanje v datoteko in branje ali spreminjanje njegovih atributov.

Povzetek

Če povzamemo, uporabniška imena in skupine predstavljajo alfanumerični niz, imenovan SID( varnostni identifikator).Delež in licenca NTFS sta povezana s temi SID-ji. Dovoljenja za skupno rabo LSSAS preveri samo, če so dostopne prek omrežja, medtem ko so dovoljenja NTFS združene z dovoljenji za skupno rabo, da omogočajo bolj granularno raven varnosti za vire, ki so dostopni prek omrežja in lokalno.

Dostop do skupnega vira

Zdaj, ko smo se naučili o dveh metodah, ki jih lahko uporabimo za skupno rabo vsebin na naših osebnih računalnikih, kako dejansko greste do tega, da bi ga dostopali prek omrežja? Je zelo preprosta. V vrstico za krmarjenje vnesite naslednje.

\\ computername \ sharename

Opomba: Očitno boste morali nadomestiti ime računalnika za ime računalnika, ki gosti delnico in sharename za ime delnice.

To je odlično za enkratne povezave, ampak kaj v večjem poslovnem okolju? Zagotovo vam ni treba naučiti uporabnikom, kako se povezati z omrežnim virom s to metodo.Če želite to narediti, boste za vsakega uporabnika izbrali omrežni pogon, tako da jim lahko svetujete, naj shranijo svoje dokumente v pogon »H« in ne poskušajo razložiti, kako se povežejo z delom.Če želite mapirati pogon, odprite Computer in kliknite gumb »Map drive network«.

Potem preprosto vnesite pot UNC za delnico.

Vaš verjetno sprašujete, če morate to storiti na vsakem računalniku, in na srečo je odgovor ne. Namesto tega lahko napišete paketni skript za samodejno mapiranje pogonov za svoje uporabnike ob prijavi in ​​ga uporabite s pravilnikom skupine.

Če diagramiramo ukaz:

  • Za mapiranje pogona uporabljamo uporabo omrežne uporabe .
  • * uporabljamo za oznako, da želimo uporabiti naslednjo razpoložljivo črko pogona.
  • Končno mi določi delež , na katerega želimo zemljevid premakniti. Upoštevajte, da smo uporabili citate, ker pot UNC vsebuje presledke.

šifriranje datotek z uporabo šifrirnega datotečnega sistema

Windows vključuje zmožnost šifriranja datotek v NTFS prostornini. To pomeni, da boste lahko samo dešifrirali datoteke in si jih ogledali. Za šifriranje datoteke preprosto z desno miškino tipko kliknite in izberite lastnosti iz kontekstnega menija.

Nato kliknite na napredni.

Sedaj preverite vsebino Encrypt za varno shranjevanje podatkov in kliknite V redu.

Zdaj pojdi naprej in uporabite nastavitve.

Datoteko moramo šifrirati, vendar imate tudi možnost šifriranja nadrejene mape.

Upoštevajte, da ko je datoteka šifrirana, postane zelena.

Zdaj boste opazili, da boste samo vi lahko odpirali datoteko in da drugi uporabniki na istem računalniku ne bodo mogli. Proces šifriranja uporablja šifriranje javnega ključa, zato morate ključe za šifriranje zaščititi.Če jih izgubite, je vaša datoteka izginila in je ni mogoče obnoviti.

Homework

  • Več o dedovanju dovoljenj in učinkovitih dovoljenjih.
  • Preberite ta Microsoftov dokument.
  • Več o tem, zakaj bi radi uporabili BranchCache.
  • Več o tem, kako deliti tiskalnike in zakaj bi si želeli.