21Aug

Geek School: Learning Windows 7 - Resursåtkomst

I denna installation av Geek School tar vi en titt på mapp virtualisering, SID och behörighet, liksom krypteringsfilsystemet.

Var noga med att kolla in de tidigare artiklarna i denna Geek School-serie på Windows 7:

  • Introduktion till Hur-till-geekskolan
  • Uppgraderingar och migreringar
  • Konfigurera enheter
  • Hantera diskar
  • Hantera applikationer
  • Hantera Internet Explorer
  • IP-adresseringsunderlag
  • Nätverk
  • TrådlösNätverk
  • Windows-brandvägg
  • Fjärrstyrning
  • Fjärråtkomst
  • Övervakning, prestanda och håller Windows upp till datum

Och håll dig uppdaterad för resten av serien hela veckan.

Mapp virtualisering

Windows 7 introducerade begreppet bibliotek som gjorde det möjligt för dig att få en centraliserad plats från vilken du kan se resurser som finns på andra håll på din dator. Mer specifikt gav bibliotekets funktion dig möjlighet att lägga till mappar från var som helst på din dator till en av fyra standardbibliotek, dokument, musik, videor och bilder, som är lättillgängliga från navigationsfönstret i Utforskaren.

Det finns två viktiga saker att notera om bibliotekets funktion:

  • När du lägger till en mapp i ett bibliotek flyttar inte mappen i sig, utan snarare skapas en länk till mappens plats.
  • För att kunna lägga till en nätverksandel till dina bibliotek måste den vara tillgänglig offline, men du kan också använda ett arbete med hjälp av symboliska länkar.

För att lägga till en mapp i ett bibliotek, gå bara in i biblioteket och klicka på länken.

Klicka sedan på add-knappen.

Hitta nu den mapp du vill inkludera i biblioteket och klicka på Inkluder mappknappen.

Det är allt som finns där.

Säkerhetsidentifieraren

Windows operativsystemet använder SID för att representera alla säkerhetsprinciper. SID: er är bara strängar med variabel längd med alfanumeriska tecken som representerar maskiner, användare och grupper. SID läggs till ACL( Access Control Lists) varje gång du beviljar en användare eller gruppbehörighet till en fil eller mapp. Bakom kulisserna lagras SID: er på samma sätt som alla andra dataobjekt är: i binära. När du ser en SID i Windows visas den dock med en mer läsbar syntax. Det är inte ofta att du ser någon form av SID i Windows;Det vanligaste scenariot är när du beviljar någon tillstånd till en resurs och tar sedan bort sitt användarkonto. SID kommer då att visas i ACL.Så kan vi titta på det typiska formatet där du kommer att se SID i Windows.

Notationen som du ser kommer att ha en viss syntax. Nedan finns de olika delarna av ett SID.

  • Ett prefix för "S"
  • Strukturrevisionsnummer
  • Ett 48-bitars identifieringsmyndighetsvärde
  • Ett variabelt antal 32-bitars sub-authority eller relative identifieringsvärden

Med hjälp av mitt SID i bilden nedan kommer vi att bryta upp de olikasektioner för att få en bättre förståelse.

SID-strukturen:

'S' - Den första komponenten i ett SID är alltid en 'S'.Detta är prefixed till alla SIDs och är där för att informera Windows att det som följer är ett SID.
'1' - Den andra komponenten i ett SID är revisionsnumret för SID-specifikationen. Om SID-specifikationen skulle ändras skulle den tillhandahålla bakåtkompatibilitet. I Windows 7 och Server 2008 R2 finns SID-specifikationen fortfarande i den första versionen.
'5' - Den tredje delen av ett SID kallas Identifier Authority. Detta definierar i vilken omfattning SID genererades. Möjliga värden för dessa delar av SID kan vara:

  • 0 - Null Authority
  • 1 - Världsmyndighet
  • 2 - Lokal myndighet
  • 3 - Skapande myndighet
  • 4 - Ej unik myndighet
  • 5 - NT Authority
5

'21' - Den fjärde komponenten är delmyndighet 1. Värdet "21" används i det fjärde fältet för att ange att de undermyndigheter som följer identifierar den lokala maskinen eller domänen.
'1206375286-251249764-2214032401' - Dessa kallas undermyndighet 2,3 respektive 4.I vårt exempel används det för att identifiera den lokala maskinen, men kan också vara identifieraren för en domän.
'1000' - Delmyndighet 5 är den sista komponenten i vårt SID och heter RID( Relative Identifier).RID är i förhållande till varje säkerhetsprincip: Observera att alla användardefinierade objekt, de som inte skickas av Microsoft, kommer att ha en RID på 1000 eller högre.

Säkerhetsprinciper

En säkerhetsprincip är vad som helst som har ett SID bifogat det. Dessa kan vara användare, datorer och jämn grupp. Säkerhetsprinciper kan vara lokala eller vara i domänkontexten. Du hanterar lokala säkerhetsprinciper genom snapin-programmet Local Users and Groups, under datorhantering. För att komma dit högerklickar du på datorns genväg i startmenyn och väljer hantera.

För att lägga till en ny användarsäkerhetsprincip kan du gå till mappen Användare och högerklicka och välja Ny användare.

Om du dubbelklickar på en användare kan du lägga till dem i en säkerhetsgrupp på fliken Medlem i.

För att skapa en ny säkerhetsgrupp, navigera till mappen Grupper på höger sida. Högerklicka på det vita utrymmet och välj Ny grupp.

Delbehörigheter och NTFS-tillstånd

I Windows finns två typer av fil- och mappbehörigheter. För det första finns det delbehörigheterna. För det andra finns det NTFS-tillstånd, som också kallas säkerhetsbehörigheter. Säkra delade mappar görs vanligtvis med en kombination av Share och NTFS-behörigheter. Eftersom det är så är det viktigt att komma ihåg att det mest restriktiva tillståndet alltid gäller. Om till exempel delatillståndet ger all säkerhetsprincipen läs tillstånd, men med NTFS-tillstånd tillåter användare att ändra på filen, har delbehörigheten företräde, och användarna får inte göra ändringar. När du anger behörigheterna kontrollerar LSASS( Local Security Authority) åtkomst till resursen. När du loggar in får du en åtkomsttoken med ditt SID på den. När du går till resursen jämför LSASS det SID som du lade till i ACL( Access Control List).Om SID är på ACL, bestämmer den om du vill tillåta eller neka åtkomst. Oavsett vilka rättigheter du använder, det finns skillnader, så låt oss ta en titt för att få en bättre förståelse för när vi ska använda vad.

Delbehörigheter:

  • Gäller bara för användare som har tillgång till resursen över nätverket. De gäller inte om du loggar in lokalt, till exempel via terminaltjänster.
  • Den gäller alla filer och mappar i den delade resursen. Om du vill tillhandahålla ett mer granulärt slags begränsningsschema bör du använda NTFS-behörighet utöver delade behörigheter
  • Om du har några formaterade volymer i FAT eller FAT32 är detta den enda begränsningsformen som är tillgänglig för dig, eftersom NTFS-behörigheter inte ärtillgängligt på dessa filsystem.

NTFS-behörigheter:

  • Den enda begränsningen för NTFS-tillstånd är att de bara kan ställas in på en volym som är formaterad till NTFS-filsystemet
  • Kom ihåg att NTFS-behörigheter är kumulativa. Det betyder att en användares effektiva behörigheter är resultatet av att kombinera användarens tilldelade behörigheter och behörigheterna för alla grupper som användaren tillhör.

Nya delbehörigheter

Windows 7 köpte tillsammans med en ny "lätt" delteknik. Alternativen ändrades från Läs, Ändra och Full kontroll till Läs och läs / skriv. Tanken var en del av hela homegroup mentaliteten och gör det enkelt att dela en mapp för icke-datorlitterat folk. Detta görs via snabbmenyn och delar enkelt med din hemgrupp.

Om du ville dela med någon som inte är hemmahörande kan du alltid välja alternativet "Specifikt folk. ..".Vilket skulle ge en mer "utarbetad" dialog där du kan ange en användare eller en grupp.

Det finns bara två behörigheter, som tidigare nämnts. Tillsammans erbjuder de ett helt eller inget skyddssystem för dina mappar och filer.

  1. Läs tillståndet är "look, touch inte" alternativet. Mottagare kan öppna, men inte ändra eller ta bort en fil.
  2. Läs / Skriv är alternativet "gör någonting".Mottagare kan öppna, ändra eller ta bort en fil.

Den gamla skolans tillstånd

Den gamla delningsdialogren hade fler alternativ, till exempel möjligheten att dela mappen under ett annat alias. Det tillät oss att begränsa antalet samtidiga anslutningar samt konfigurera caching. Ingen av denna funktionalitet går förlorad i Windows 7, utan är dolt under ett alternativ som heter "Advanced Sharing".Om du högerklickar på en mapp och går till dess egenskaper kan du hitta dessa "Advanced Sharing" -inställningar under fliken Dela.

Om du klickar på knappen "Advanced Sharing", som kräver lokala administratörsuppgifter, kan du konfigurera alla inställningar som du kände till i tidigare versioner av Windows.

Om du klickar på behörighetsknappen presenteras de 3 inställningarna som vi alla är bekanta med.

    • Läs -tillståndet tillåter dig att visa och öppna filer och underkataloger samt att utföra program. Men det tillåter inte några ändringar.
    • Ändra -behörighet tillåter dig att göra allt som Läs -tillstånd tillåter, och det lägger också till möjligheten att lägga till filer och underkataloger, ta bort undermappar och ändra data i filerna.
    • Full Control är "gör någonting" av de klassiska behörigheterna, eftersom det tillåter dig att göra något och alla tidigare behörigheter. Dessutom ger den dig den avancerade ändras NTFS-tillståndet, men detta gäller bara för NTFS-mappar

NTFS-behörigheter

NTFS-behörigheter tillåter mycket granulär kontroll över dina filer och mappar. Med det sagt kan mängden granularitet vara skrämmande för en nykomling. Du kan också ställa in NTFS-behörighet per fil och per mappbasis. Om du vill ställa in NTFS-behörighet på en fil bör du högerklicka och gå till filens egenskaper och gå till fliken Sekretess.

För att redigera NTFS-behörigheterna för en användare eller grupp, klicka på redigeringsknappen.

Som du kan se finns det ganska många NTFS-tillstånd, så låt oss bryta ner dem. Först ska vi titta på de NTFS-behörigheter som du kan ställa in på en fil.

  • Full Control låter dig läsa, skriva, ändra, exekvera, ändra attribut, behörigheter och ta äganderätten till filen.
  • Ändra låter dig läsa, skriva, ändra, exekvera och ändra filens attribut.
  • Läs &Genomför kan du visa filens data, attribut, ägare och behörigheter och köra filen om det är ett program.
  • Läs kan du öppna filen, visa dess attribut, ägare och behörigheter.
  • Skriv låter dig skriva data till filen, bifoga filen och läsa eller ändra dess attribut.

NTFS Tillstånd för mappar har lite olika alternativ, så vi kan titta på dem.

  • Full Control låter dig läsa, skriva, ändra och exekvera filer i mappen, ändra attribut, behörigheter och ta äganderätt till mappen eller filerna inom.
  • Ändra låter dig läsa, skriva, modifiera och exekvera filer i mappen och ändra attribut av mappen eller filerna inom.
  • Läs &Genomför kan du visa mappens innehåll och visa data, attribut, ägare och behörigheter för filer i mappen och köra filer i mappen.
  • listmapp innehåll låter dig visa mappens innehåll och visa data, attribut, ägare och behörigheter för filer i mappen och köra filer i mappen
  • Läs kan du visa filens data, attribut,ägare och behörigheter.
  • Skriv låter dig skriva data till filen, bifoga filen och läsa eller ändra dess attribut.

Sammanfattning

Sammanfattningsvis är användarnamn och grupper representationer av en alfanumerisk sträng som heter SID( säkerhetsidentifierare).Dela och NTFS-behörigheter är knutna till dessa SID: er. Delbehörigheter kontrolleras endast av LSSAS när de öppnas över nätverket, medan NTFS-behörigheter kombineras med delbehörigheter för att möjliggöra en mer granulär säkerhetsnivå för att resurser ska nås över nätverket såväl som lokalt.

Åtkomst till en gemensam resurs

Så nu som vi har lärt oss om de två metoder som vi kan använda för att dela innehåll på våra datorer, hur går det faktiskt om att få tillgång till det via nätverket? Det är väldigt enkelt. Skriv bara följande i navigeringsfältet.

\\ datornamn \ sharename

Obs! Du måste självklart ersätta datornamn för namnet på datorn som är värd för share- och sharename för namnet på aktien.

Det här är bra för en gång av anslutningar, men hur är det i en större företagsmiljö?Visst behöver du inte lära dina användare hur man ansluter till en nätverksresurs med den här metoden. För att komma runt om det här vill du kartlägga en nätverksenhet för varje användare, så att du kan rekommendera dem att lagra sina dokument på "H" -enheten, istället för att försöka förklara hur man ansluter till en del. För att kartlägga en enhet öppnar du Dator och klickar på knappen "Map Network Drive".

Skriv sedan enkelt in UNC-banan för aktien.

Du undrar förmodligen om du måste göra det på varje dator och lyckligtvis är svaret nej. Snarare kan du skriva ett batchskript för att automatiskt kartlägga enheterna för dina användare vid inloggning och distribuera det via grupprincip.

Om vi ​​dissektera kommandot:

  • Vi använder -nätverket -kommandot för att kartlägga enheten.
  • Vi använder * för att ange att vi vill använda nästa tillgängliga körbokstav.
  • Slutligen anger vi den andel vi vill kartlägga enheten till. Observera att vi använde citat eftersom UNC-sökvägen innehåller mellanslag.

Kryptera filer med hjälp av krypteringsfilsystemet

Windows innehåller möjligheten att kryptera filer på en NTFS-volym. Det betyder att du bara kommer att kunna dekryptera filerna och visa dem. För att kryptera en fil, högerklicka bara på den och välj egenskaper från snabbmenyn.

Klicka sedan på avancerat.

Markera kryssrutan Kryptera innehåll för att säkra data och klicka sedan på OK.

Gå nu och använd inställningarna.

Vi behöver bara kryptera filen, men du har också möjlighet att kryptera föräldramappen också.

Observera att när filen är krypterad blir den grön.

Du märker nu att endast du kommer att kunna öppna filen och att andra användare på samma dator inte kommer att kunna. Krypteringsprocessen använder offentlig nyckelkryptering, så behåll krypteringsnycklarna säkra. Om du förlorar dem är din fil borta och det finns inget sätt att återställa det.

Hemläxa

  • Läs om tillståndsarv och effektiva behörigheter.
  • Läs detta Microsoft-dokument.
  • Lär dig varför du vill använda BranchCache.
  • Lär dig hur du delar skrivare och varför du skulle vilja.