Główna » jak » Nauka Geek School Windows 7 - Dostęp do zasobów

    Nauka Geek School Windows 7 - Dostęp do zasobów

    W tej instalacji Geek School przyjrzymy się wirtualizacji folderów, identyfikatorom SID i pozwoleniom, a także systemowi szyfrowania plików.

    Koniecznie zapoznaj się z poprzednimi artykułami z tej serii Geek School na Windows 7:

    • Przedstawiamy szkołę "How-To Geek"
    • Aktualizacje i migracje
    • Konfigurowanie urządzeń
    • Zarządzanie dyskami
    • Zarządzanie aplikacjami
    • Zarządzanie programem Internet Explorer
    • Podstawy adresowania IP
    • Networking
    • Sieć bezprzewodowa
    • zapora systemu Windows
    • Administracja zdalna
    • Dostęp zdalny
    • Monitorowanie, wydajność i utrzymywanie aktualności systemu Windows

    I pozostańcie czujni przez resztę serii przez cały ten tydzień.

    Wirtualizacja folderów

    System Windows 7 wprowadził pojęcie bibliotek, które pozwoliły na scentralizowaną lokalizację, z której można przeglądać zasoby znajdujące się w innym miejscu na komputerze. Mówiąc dokładniej, funkcja bibliotek umożliwia dodawanie folderów z dowolnego miejsca na komputerze do jednej z czterech domyślnych bibliotek, dokumentów, muzyki, wideo i obrazów, które są łatwo dostępne z poziomu okienka nawigacji Eksploratora Windows..

    Należy zwrócić uwagę na dwie ważne cechy biblioteki:

    • Gdy dodajesz folder do biblioteki, sam folder się nie przesuwa, a zamiast niego tworzony jest link do lokalizacji tego folderu.
    • Aby dodać udział sieciowy do bibliotek, musi on być dostępny w trybie offline, ale można również użyć obejścia przy użyciu dowiązań symbolicznych.

    Aby dodać folder do biblioteki, po prostu przejdź do biblioteki i kliknij link lokalizacji.

    Następnie kliknij przycisk Dodaj.

    Teraz znajdź folder, który chcesz dołączyć do biblioteki, i kliknij przycisk Dołącz folder.

    To wszystko.

    Identyfikator zabezpieczenia

    System operacyjny Windows używa identyfikatorów SID do reprezentowania wszystkich zasad bezpieczeństwa. Identyfikatory SID to tylko ciągi o zmiennej długości alfanumerycznych znaków reprezentujących komputery, użytkowników i grupy. Identyfikatory SID są dodawane do list ACL (list kontroli dostępu) za każdym razem, gdy przyznajesz uprawnienia użytkownika lub grupy do pliku lub folderu. Za kulisami identyfikatory SID są przechowywane w taki sam sposób, jak wszystkie inne obiekty danych: w trybie binarnym. Jednak gdy zobaczysz identyfikator SID w systemie Windows, zostanie wyświetlony przy użyciu bardziej czytelnej składni. Nieczęsto zdarza się, że zobaczysz jakąkolwiek formę identyfikatora SID w systemie Windows; najczęstszym scenariuszem jest przyznawanie komuś uprawnień do zasobu, a następnie usuwanie jego konta użytkownika. Identyfikator SID pojawi się w liście ACL. Więc spójrzmy na typowy format, w którym zobaczysz identyfikatory SID w Windows.

    Notacja, którą zobaczysz, przyjmuje pewną składnię. Poniżej znajdują się różne części identyfikatora SID.

    • Prefiks "S"
    • Numer wersji struktury
    • 48-bitowa wartość identyfikatora
    • Zmienna liczba 32-bitowych wartości podrzędnych lub względnego identyfikatora (RID)

    Korzystając z mojego identyfikatora SID na poniższym obrazku, podzielimy poszczególne sekcje, aby uzyskać lepsze zrozumienie.

    Struktura SID:

    "S" - Pierwszym elementem identyfikatora SID jest zawsze "S". Jest to poprzedzone wszystkimi identyfikatorami SID i służy do informowania systemu Windows, że poniżej następuje identyfikator SID.
    "1" - Drugi składnik identyfikatora SID to numer wersji specyfikacji SID. Jeśli specyfikacja SID miała ulec zmianie, zapewniłaby kompatybilność wsteczną. Od wersji Windows 7 i Server 2008 R2 specyfikacja SID wciąż znajduje się w pierwszej wersji.
    "5" - Trzecia sekcja identyfikatora SID nosi nazwę Urząd identyfikacyjny. Określa, w jakim zakresie wygenerowano identyfikator SID. Możliwe wartości dla tych sekcji identyfikatora SID mogą być następujące:

    • 0 - Null Authority
    • 1 - Władza światowa
    • 2 - Władze lokalne
    • 3 - Władza twórców
    • 4 - Niepowtarzalny organ
    • 5 - Organ NT

    "21" - Czwarty komponent to podrzędne zadanie 1. Wartość "21" jest używana w czwartym polu, aby określić, że kolejne podsektory identyfikują maszynę lokalną lub domenę.
    "1206375286-251249764-2214032401" - Są one nazywane, odpowiednio, podległymi organami 2,3 i 4. W naszym przykładzie jest to używane do identyfikacji lokalnego komputera, ale może być również identyfikatorem dla domeny.
    "1000" - Sub-organ 5 jest ostatnim elementem w naszym identyfikatorze SID i jest nazywany RID (Identyfikator Względny). RID odnosi się do każdej zasady bezpieczeństwa: należy pamiętać, że wszelkie obiekty zdefiniowane przez użytkownika, które nie są dostarczane przez Microsoft, będą miały RID 1000 lub więcej.

    Zasady bezpieczeństwa

    Zasada bezpieczeństwa to wszystko, co ma przypisany identyfikator SID. Mogą to być użytkownicy, komputery, a nawet grupy. Zasady bezpieczeństwa mogą być lokalne lub znajdować się w kontekście domeny. Zarządzasz lokalnymi zasadami bezpieczeństwa poprzez przystawkę Lokalni użytkownicy i grupy, w ramach zarządzania komputerem. Aby się tam dostać, kliknij prawym przyciskiem myszy skrót komputera w menu Start i wybierz opcję Zarządzaj.

    Aby dodać zasadę nowego użytkownika, możesz przejść do folderu Użytkownicy i kliknąć prawym przyciskiem myszy i wybrać Nowy użytkownik.

    Dwukrotne kliknięcie użytkownika pozwala dodać go do grupy zabezpieczeń na karcie Członek grupy.

    Aby utworzyć nową grupę zabezpieczeń, przejdź do folderu Grupy po prawej stronie. Kliknij prawym przyciskiem myszy biały obszar i wybierz Nowa grupa.

    Udostępnij uprawnienia i uprawnienie NTFS

    W systemie Windows istnieją dwa typy uprawnień do plików i folderów. Po pierwsze, są uprawnienia do udziału. Po drugie, istnieją uprawnienia NTFS, które są również nazywane uprawnieniami bezpieczeństwa. Zabezpieczanie folderów współdzielonych odbywa się zwykle w połączeniu z uprawnieniami do udziałów i NTFS. Ponieważ tak jest, należy pamiętać, że zawsze obowiązuje najbardziej restrykcyjne zezwolenie. Na przykład, jeśli uprawnienie do udostępniania daje uprawnienie odczytu zasady bezpieczeństwa Wszyscy, ale uprawnienie NTFS zezwala użytkownikom na dokonywanie zmian w pliku, uprawnienia do udziału będą miały pierwszeństwo, a użytkownicy nie będą mogli wprowadzać zmian. Po ustawieniu uprawnień LSASS (lokalny organ bezpieczeństwa) kontroluje dostęp do zasobu. Po zalogowaniu się otrzymujesz token dostępu z identyfikatorem SID. Po przejściu do zasobu LSASS porównuje identyfikator SID dodany do listy ACL (Access Control List). Jeśli identyfikator SID znajduje się na liście ACL, określa, czy zezwolić, czy odmówić dostępu. Niezależnie od używanych uprawnień, istnieją różnice, więc spójrzmy, aby lepiej zrozumieć, kiedy powinniśmy użyć czego.

    Udostępnij uprawnienia:

    • Dotyczy tylko użytkowników uzyskujących dostęp do zasobu przez sieć. Nie mają one zastosowania, jeśli logujesz się lokalnie, na przykład za pośrednictwem usług terminalowych.
    • Dotyczy to wszystkich plików i folderów we współużytkowanym zasobie. Jeśli chcesz zapewnić bardziej ziarnisty rodzaj schematu ograniczeń, oprócz uprawnień współużytkowania powinieneś używać uprawnień NTFS
    • Jeśli masz woluminy sformatowane w systemie plików FAT lub FAT32, będzie to jedyna dostępna forma ograniczenia, ponieważ uprawnienia NTFS nie są dostępne w tych systemach plików.

    Uprawnienia NTFS:

    • Jedynym ograniczeniem uprawnień NTFS jest to, że można je ustawić tylko na woluminie sformatowanym do systemu plików NTFS
    • Pamiętaj, że uprawnienia NTFS są kumulatywne. Oznacza to, że efektywne uprawnienia użytkownika są wynikiem połączenia przypisanych przez użytkownika uprawnień i uprawnień każdej grupy, do której należy użytkownik.

    Nowe uprawnienia udziału

    Windows 7 kupił nową "łatwą" technikę udostępniania. Opcje zmieniły się z odczytu, zmiany i pełnej kontroli do odczytu i odczytu / zapisu. Pomysł był częścią całej mentalności Homegroup i ułatwił udostępnianie folderu osobom nie znającym się na komputerach. Odbywa się to za pośrednictwem menu kontekstowego i łatwo udostępnia akcje Twojej grupie domowej.

    Jeśli chcesz podzielić się z kimś, kto nie jest w grupie domowej, zawsze możesz wybrać opcję "Określone osoby ...". Który wywołuje bardziej "skomplikowane" okno dialogowe, w którym można określić użytkownika lub grupę.

    Istnieją tylko dwa uprawnienia, jak wspomniano wcześniej. Razem oferują schemat ochrony dla wszystkich folderów i plików.

    1. Czytać uprawnieniem jest opcja "patrz, nie dotykaj". Odbiorcy mogą otwierać, ale nie modyfikować ani usuwać plików.
    2. Odczyt / zapis jest opcją "zrób wszystko". Odbiorcy mogą otwierać, modyfikować lub usuwać pliki.

    Zezwolenie starej szkoły

    W starym oknie dialogowym udostępniania udostępniono więcej opcji, takich jak opcja udostępniania folderu pod innym aliasem. Pozwoliło to ograniczyć liczbę jednoczesnych połączeń, a także skonfigurować buforowanie. Żadna z tych funkcji nie jest tracona w systemie Windows 7, ale raczej jest ukryta pod opcją "Zaawansowane udostępnianie". Po kliknięciu prawym przyciskiem myszy na folderze i przejściu do jego właściwości możesz znaleźć te ustawienia "Zaawansowane udostępnianie" na karcie udostępniania.

    Jeśli klikniesz przycisk "Zaawansowane udostępnianie", który wymaga poświadczeń administratora lokalnego, możesz skonfigurować wszystkie ustawienia, które były Ci znane w poprzednich wersjach systemu Windows.

    Jeśli klikniesz przycisk uprawnień, zobaczysz 3 ustawienia, które wszyscy znamy.

      • Czytać uprawnienie pozwala na przeglądanie i otwieranie plików i podkatalogów oraz uruchamianie aplikacji. Jednak nie pozwala na wprowadzanie jakichkolwiek zmian.
      • Modyfikować pozwolenie pozwala ci to zrobić Czytać uprawnienie zezwala, a także dodaje możliwość dodawania plików i podkatalogów, usuwania podfolderów i zmiany danych w plikach.
      • Pełna kontrola to "zrób wszystko" z klasycznych uprawnień, ponieważ pozwala ci na wykonywanie wszystkich poprzednich uprawnień. Ponadto zapewnia zaawansowane zmienianie uprawnień NTFS, ale dotyczy to tylko folderów NTFS

    Uprawnienia NTFS

    Uprawnienia NTFS pozwalają na bardzo szczegółową kontrolę nad plikami i folderami. Powiedziawszy to, ilość ziarnistości może zniechęcić przybysza. Można również ustawić uprawnienia NTFS zarówno dla pojedynczych plików, jak i dla poszczególnych folderów. Aby ustawić uprawnienie NTFS do pliku, należy kliknąć prawym przyciskiem myszy i przejść do właściwości pliku, a następnie przejść do karty zabezpieczeń.

    Aby edytować uprawnienia NTFS dla użytkownika lub grupy, kliknij przycisk edycji.

    Jak widać, istnieje wiele uprawnień NTFS, więc podzielmy je. Najpierw przyjrzymy się uprawnieniom NTFS, które można ustawić w pliku.

    • Pełna kontrola umożliwia czytanie, pisanie, modyfikowanie, wykonywanie, zmianę atrybutów, uprawnień i przejęcie własności pliku.
    • Modyfikować pozwala na odczytywanie, zapisywanie, modyfikowanie, wykonywanie i zmienianie atrybutów pliku.
    • Odczyt i wykonanie pozwoli ci wyświetlić dane pliku, atrybuty, właściciela i uprawnienia i uruchomić plik, jeśli jest to program.
    • Czytać pozwoli ci otworzyć plik, wyświetlić jego atrybuty, właściciela i uprawnienia.
    • pisać pozwoli Ci zapisywać dane w pliku, dołączać do pliku i czytać lub zmieniać jego atrybuty.

    Uprawnienia NTFS dla folderów mają nieco inne opcje, więc przyjrzyjmy się im.

    • Pełna kontrola pozwoli ci czytać, pisać, modyfikować i uruchamiać pliki w folderze, zmieniać atrybuty, uprawnienia i przejąć na własność folder lub pliki wewnątrz.
    • Modyfikować pozwoli ci czytać, pisać, modyfikować i uruchamiać pliki w folderze oraz zmieniać atrybuty folderu lub plików wewnątrz.
    • Odczyt i wykonanie pozwoli ci wyświetlić zawartość folderu i wyświetlać dane, atrybuty, właściciela i uprawnienia dla plików w folderze oraz uruchamiać pliki w folderze.
    • Wyświetl zawartość folderu pozwoli ci wyświetlić zawartość folderu i wyświetlać dane, atrybuty, właściciela i uprawnienia dla plików w folderze oraz uruchamiać pliki w folderze
    • Czytać pozwoli ci wyświetlić dane pliku, atrybuty, właściciela i uprawnienia.
    • pisać pozwoli Ci zapisywać dane w pliku, dołączać do pliku i czytać lub zmieniać jego atrybuty.

    streszczenie

    Podsumowując, nazwy użytkowników i grupy są reprezentacjami alfanumerycznego łańcucha o nazwie SID (Security Identifier). Uprawnienia do udostępniania i NTFS są powiązane z tymi identyfikatorami SID. Uprawnienia udziału są sprawdzane przez LSSAS tylko podczas uzyskiwania dostępu przez sieć, podczas gdy uprawnienia NTFS są łączone z uprawnieniami do udziału, aby umożliwić bardziej szczegółowy poziom zabezpieczeń dostępu do zasobów w sieci, a także lokalnie.

    Dostęp do udostępnionego zasobu

    Teraz, gdy dowiedzieliśmy się o dwóch metodach, które możemy wykorzystać do udostępniania treści na naszych komputerach, jak faktycznie chcesz uzyskać dostęp do niego przez sieć? To bardzo proste. Po prostu wpisz następujące polecenie na pasku nawigacyjnym.

    \\ nazwa_komputera \ nazwa_udziału

    Uwaga: Oczywiście musisz zastąpić nazwa_komputera nazwą komputera udostępniającego udział i nazwę udziału dla nazwy udziału.

    To jest świetne dla jednorazowych połączeń, ale co z większymi korporacyjnymi środowiskami? Z pewnością nie trzeba uczyć użytkowników, jak połączyć się z zasobem sieciowym za pomocą tej metody. Aby obejść ten problem, będziesz chciał zmapować dysk sieciowy dla każdego użytkownika, w ten sposób możesz doradzić mu przechowywanie swoich dokumentów na dysku "H", zamiast próbować wyjaśnić, jak połączyć się z udziałem. Aby zmapować dysk, otwórz Komputer i kliknij przycisk "Mapuj dysk sieciowy".

    Następnie wpisz po prostu ścieżkę UNC udziału.

    Prawdopodobnie zastanawiasz się, czy musisz to robić na każdym komputerze i na szczęście odpowiedź brzmi "nie". Zamiast tego możesz napisać skrypt wsadowy, aby automatycznie mapować dyski dla użytkowników podczas logowania i wdrożyć go za pomocą zasad grupy.

    Jeśli przeanalizujemy polecenie:

    • Używamy wykorzystanie netto polecenie, aby zmapować dysk.
    • Używamy * aby wskazać, że chcemy użyć następnej dostępnej litery dysku.
    • W końcu my określ udział chcemy zmapować dysk. Zauważ, że użyliśmy cudzysłowów, ponieważ ścieżka UNC zawiera spacje.

    Szyfrowanie plików za pomocą systemu szyfrowania plików

    System Windows umożliwia szyfrowanie plików na woluminie NTFS. Oznacza to, że tylko Ty będziesz mógł odszyfrować pliki i je wyświetlić. Aby zaszyfrować plik, po prostu kliknij go prawym przyciskiem myszy i wybierz właściwości z menu kontekstowego.

    Następnie kliknij na zaawansowane.

    Teraz zaznacz pole wyboru Szyfruj zawartość, aby zabezpieczyć dane, a następnie kliknij OK.

    Teraz idź i zastosuj ustawienia.

    Musimy tylko zaszyfrować plik, ale istnieje również możliwość zaszyfrowania folderu nadrzędnego.

    Zauważ, że po zaszyfrowaniu pliku zmienia kolor na zielony.

    Teraz zauważysz, że tylko Ty będziesz mógł otworzyć plik i inni użytkownicy tego samego komputera nie będą mogli go otworzyć. Proces szyfrowania wykorzystuje szyfrowanie klucza publicznego, więc zachowaj bezpieczeństwo swoich kluczy szyfrujących. Jeśli je zgubisz, twój plik zniknął i nie ma możliwości odzyskania go.

    Zadanie domowe

    • Dowiedz się więcej o dziedziczeniu uprawnień i skutecznych uprawnieniach.
    • Przeczytaj ten dokument Microsoft.
    • Dowiedz się, dlaczego chcesz korzystać z BranchCache.
    • Dowiedz się, jak udostępniać drukarki i dlaczego chcesz.
    Nauka Geek School Windows 7 - Zapora systemu Windows
    Geek School Learning Windows 7 - Sieci bezprzewodowe
    Geek School Learning Windows 7 - Dostęp zdalny
    Następny artykuł
    Nauka Geek School Windows 7 - Ulepszenia i migracje
    Poprzedni artykuł
    Geek School Learning Windows 7 - Administracja zdalna