Geek School Learning Windows 7 - Ressourceadgang
I denne installation af Geek School tager vi et kig på Folder Virtualization, SIDs og Tilladelse, såvel som Encrypting File System.
Sørg for at tjekke de tidligere artikler i denne Geek School-serie på Windows 7:
- Introduktion til How-To Geek School
- Opgraderinger og migreringer
- Konfiguration af enheder
- Håndtering af diske
- Administration af applikationer
- Administration af Internet Explorer
- IP-adresseringsgrundlag
- Netværk
- Trådløst netværk
- Windows Firewall
- Fjernadministration
- Fjernadgang
- Overvågning, ydeevne og holde Windows opdateret
Og hold dig indstillet til resten af serien hele ugen.
Mapp virtualisering
Windows 7 introducerede begrebet biblioteker, som tillod dig at have en centraliseret placering, hvorfra du kunne se ressourcer placeret andre steder på din computer. Mere specifikt gav bibliotekets funktion dig mulighed for at tilføje mapper fra hvor som helst på din computer til en af fire standardbiblioteker, Dokumenter, Musik, Videoer og Billeder, som er let tilgængelige fra navigationsruden i Windows Stifinder.
Der er to vigtige ting at notere om bibliotekets funktion:
- Når du tilføjer en mappe til et bibliotek, flyttes mappen ikke, men der oprettes et link til mappens placering.
- For at tilføje en netværksandel til dine biblioteker skal den være tilgængelig offline, selvom du også kunne bruge et arbejde rundt ved hjælp af symbolske links.
For at tilføje en mappe til et bibliotek skal du blot gå ind i biblioteket og klikke på placeringslinket.
Klik derefter på knappen Tilføj.
Find nu den mappe, du vil medtage i biblioteket, og klik på knappen Inkluder mappe.
Det er alt der er til det.
Sikkerhedsidentifikatoren
Windows-operativsystemet bruger SID'er til at repræsentere alle sikkerhedsprincipper. SID'er er kun strenge med variabel længde med alfanumeriske tegn, der repræsenterer maskiner, brugere og grupper. SID'er tilføjes til ACL (Access Control Lists), hver gang du giver en bruger eller gruppe tilladelse til en fil eller mappe. Bag kulisserne gemmes SID'er på samme måde som alle andre dataobjekter er: i binære. Men når du ser et SID i Windows, vises det med en mere læsbar syntaks. Det er ikke ofte, at du vil se nogen form for SID i Windows; Det mest almindelige scenario er, når du giver en tilladelse til en ressource, og slet derefter deres brugerkonto. SID'en vil så dukke op i ACL. Så lad os se på det typiske format, hvor du vil se SID'er i Windows.
Notationen, som du vil se, tager en vis syntaks. Nedenfor er de forskellige dele af et SID.
- Et 'S' præfiks
- Strukturrevisionsnummer
- En 48-bit identifikationsmyndighedsværdi
- Et variabelt antal 32-bit sub-authority eller relative identifikator (RID) værdier
Ved hjælp af mit SID i billedet nedenfor vil vi opdele de forskellige sektioner for at få en bedre forståelse.
SID-strukturen:
'S' - Den første komponent i et SID er altid en 'S'. Dette er prefixed til alle SID'er og er der for at informere Windows om, at det følgende er et SID.
'1' - Den anden komponent i et SID er revisionsnummeret til SID-specifikationen. Hvis SID-specifikationen skulle ændres, ville det give kompatibilitet bagud. I Windows 7 og Server 2008 R2 er SID-specifikationen stadig i den første revision.
'5' - Den tredje sektion af et SID hedder identifikationsmyndigheden. Dette definerer i hvilket omfang SID'en blev genereret. Mulige værdier for disse sektioner af SID kan være:
- 0 - Null Authority
- 1 - Verdensmyndighed
- 2 - Lokal myndighed
- 3 - Creator Authority
- 4 - Ikke-unik myndighed
- 5 - NT Authority
'21' - Den fjerde komponent er undermyndighed 1. Værdien '21' anvendes i det fjerde felt for at angive, at de undermyndigheder, der følger, identificerer den lokale maskine eller domænet.
'1206375286-251249764-2214032401' - Disse kaldes undermyndighed 2,3 og 4 henholdsvis. I vores eksempel bruges dette til at identificere den lokale maskine, men det kan også være identifikatoren for et domæne.
'1000' - Undermyndighed 5 er den sidste komponent i vores SID og kaldes RID (Relativ Identifier). RID er i forhold til hvert sikkerhedsprincip: Bemærk, at alle brugerdefinerede objekter, dem, der ikke afsendes af Microsoft, vil have et RID på 1000 eller derover.
Sikkerhedsprincipper
Et sikkerhedsprincip er noget, der har et SID knyttet til det. Disse kan være brugere, computere og lige grupper. Sikkerhedsprincipper kan være lokale eller være i domænet sammenhæng. Du håndterer lokale sikkerhedsprincipper gennem indlæsningen Lokale brugere og grupper under computerstyring. For at komme derhen skal du højreklikke på computerens genvej i startmenuen og vælge at administrere.
For at tilføje et nyt brugersikkerhedsprincip kan du gå til mappen Brugere og højreklikke og vælge Ny bruger.
Hvis du dobbeltklikker på en bruger, kan du tilføje dem til en sikkerhedsgruppe på fanen Medlem af.
For at oprette en ny sikkerhedsgruppe skal du navigere til mappen Grupper på højre side. Højreklik på det hvide mellemrum og vælg Ny gruppe.
Del tilladelser og NTFS-tilladelse
I Windows er der to typer fil- og mappen tilladelser. For det første er der del tilladelser. For det andet er der NTFS-tilladelser, der også kaldes sikkerhedsrettigheder. Sikring af delte mapper sker normalt med en kombination af Share- og NTFS-tilladelser. Da det er tilfældet, er det vigtigt at huske, at den mest restriktive tilladelse altid gælder. Hvis f.eks. Share-tilladelsen giver alle sikkerhedsprincipper læsningstilladelse, men NTFS-tilladelsen tillader brugere at foretage en ændring af filen, har deletilladelsen forrang, og brugerne har ikke lov til at foretage ændringer. Når du indstiller tilladelserne, kontrollerer LSASS (Local Security Authority) adgang til ressourcen. Når du logger på, får du et adgangstegn med dit SID på det. Når du går for at få adgang til ressourcen, sammenligner LSASS det SID, du tilføjede til ACL (Access Control List). Hvis SID'en er på ACL, bestemmer den, om adgangen skal tillades eller nægtes. Uanset hvilke tilladelser du bruger, er der forskelle, så lad os tage et kig for at få en bedre forståelse af, hvornår vi skal bruge hvad.
Del tilladelser:
- Gælder kun for brugere, der har adgang til ressourcen over netværket. De gælder ikke, hvis du logger ind lokalt, f.eks. Via terminaltjenester.
- Det gælder for alle filer og mapper i den delte ressource. Hvis du vil give en mere granuleret slags begrænsningsordning, skal du bruge NTFS-tilladelse ud over delte tilladelser
- Hvis du har nogle formaterede FAT- eller FAT32-volumener, er dette den eneste form for begrænsning, der er tilgængelig for dig, da NTFS-tilladelser ikke er tilgængelige på disse filsystemer.
NTFS Tilladelser:
- Den eneste begrænsning for NTFS-tilladelser er, at de kun kan indstilles på et volumen, der er formateret til NTFS-filsystemet
- Husk, at NTFS-tilladelser er kumulative. Det betyder, at en brugers effektive tilladelser er resultatet af at kombinere brugerens tildelte tilladelser og tilladelserne fra nogen grupper brugeren tilhører.
De Nye Deltilladelser
Windows 7 købt sammen med en ny "nem" delteknik. Indstillingerne ændret fra Læs, Skift og Fuld kontrol til Læs og Læs / Skriv. Ideen var en del af hele homegroup-mentaliteten og gør det nemt at dele en mappe til ikke-computerbaserede folk. Dette gøres via kontekstmenuen og deler nemt med din hjemmegruppe.
Hvis du vil dele med en person, der ikke er hjemme i gruppen, kan du altid vælge "Specifikke mennesker ..." mulighed. Hvilket ville skabe en mere "uddybet" dialog, hvor du kunne angive en bruger eller en gruppe.
Der er kun to tilladelser, som tidligere nævnt. Sammen tilbyder de et helt eller intet beskyttelsesprogram til dine mapper og filer.
- Læs tilladelse er "look, touch ikke" mulighed. Modtagere kan åbne, men ikke ændre eller slette en fil.
- Læse skrive er "gøre noget" mulighed. Modtagere kan åbne, ændre eller slette en fil.
Den gamle skole tilladelse
Den gamle deledialog havde flere muligheder, f.eks. Muligheden for at dele mappen under et andet alias. Det tillod os at begrænse antallet af samtidige forbindelser samt konfigurere caching. Ingen af denne funktionalitet er tabt i Windows 7, men er snarere gemt under en mulighed kaldet "Advanced Sharing". Hvis du højreklikker på en mappe og går til dens egenskaber, kan du finde disse indstillinger "Avanceret deling" under fanen Deling.
Hvis du klikker på knappen "Avanceret deling", som kræver lokale administratoroplysninger, kan du konfigurere alle de indstillinger, du var bekendt med i tidligere versioner af Windows.
Hvis du klikker på tilladelsesknappen, bliver du præsenteret for de 3 indstillinger, som vi alle er bekendt med.
- Læs tilladelse giver dig mulighed for at se og åbne filer og underkataloger samt udføre programmer. Det tillader dog ikke, at der foretages ændringer.
- Modificere tilladelse giver dig mulighed for at gøre alt det Læs tilladelse tillader det, og det tilføjer også evnen til at tilføje filer og undermapper, slette undermapper og ændre data i filerne.
- Fuld kontrol er "gør noget" af de klassiske tilladelser, da det giver dig mulighed for at gøre alle de tidligere tilladelser. Derudover giver den dig den avancerede skiftende NTFS-tilladelse, men det gælder kun for NTFS-mapper
NTFS-tilladelser
NTFS Tilladelser giver mulighed for meget granulær kontrol over dine filer og mapper. Med det sagt kan mængden af granularitet være skræmmende for en nykommer. Du kan også indstille NTFS-tilladelse pr. Filbasis samt en mappebasis. Hvis du vil indstille NTFS-tilladelse til en fil, skal du højreklikke og gå til filens egenskaber og derefter gå til fanen Sikkerhed.
For at redigere NTFS-tilladelserne for en bruger eller gruppe skal du klikke på redigeringsknappen.
Som du måske ser, er der en hel del NTFS-tilladelser, så lad os bryde dem ned. For det første vil vi se på de NTFS-tilladelser, som du kan indstille på en fil.
- Fuld kontrol giver dig mulighed for at læse, skrive, ændre, udføre, ændre attributter, tilladelser og tage ejerskab af filen.
- Modificere giver dig mulighed for at læse, skrive, ændre, udføre og ændre filens attributter.
- Læs og udfør vil give dig mulighed for at vise filens data, attributter, ejer og tilladelser og køre filen, hvis det er et program.
- Læs vil tillade dig at åbne filen, se dens attributter, ejer og tilladelser.
- Skrive vil tillade dig at skrive data til filen, tilføje til filen og læse eller ændre dens attributter.
NTFS Tilladelser til mapper har lidt forskellige muligheder, så lad os se på dem.
- Fuld kontrol vil tillade dig at læse, skrive, ændre og udføre filer i mappen, ændre attributter, tilladelser og tage ejerskab af mappen eller filerne indenfor.
- Modificere vil tillade dig at læse, skrive, ændre og udføre filer i mappen og ændre attributter af mappen eller filerne indenfor.
- Læs og udfør vil give dig mulighed for at vise mappens indhold og vise data, attributter, ejer og tilladelser til filer i mappen og køre filer i mappen.
- Liste mappe indhold vil give dig mulighed for at vise mappens indhold og vise data, attributter, ejer og tilladelser til filer i mappen og køre filer i mappen
- Læs vil tillade dig at vise filens data, attributter, ejer og tilladelser.
- Skrive vil tillade dig at skrive data til filen, tilføje til filen og læse eller ændre dens attributter.
Resumé
Sammenfattende er brugernavne og grupper repræsentationer af en alfanumerisk streng kaldet et SID (sikkerhedsidentifikator). Del og NTFS Tilladelser er bundet til disse SID'er. Del tilladelser kontrolleres kun af LSSAS, når de bliver adgang til via netværket, mens NTFS-tilladelser kombineres med Share Permissions for at tillade et mere granuleret sikkerhedsniveau, når ressourcerne bliver adgang til via netværket såvel som lokalt.
Adgang til en delt ressource
Så nu hvor vi har lært om de to metoder, vi kan bruge til at dele indhold på vores pc'er, hvordan går det faktisk med at få adgang til det via netværket? Det er meget simpelt. Indtast blot følgende i navigationslinjen.
\\ computernavn \ sharenavn
Bemærk: Du skal selvfølgelig erstatte computernavn for navnet på pc'en, der er vært for share- og sharename for navnet på den del.
Dette er fantastisk til engang af forbindelser, men hvad med et større virksomhedsmiljø? Du skal sikkert ikke lære dine brugere, hvordan du opretter forbindelse til en netværksressource ved hjælp af denne metode. For at komme rundt om dette, vil du gerne kortlægge et netværksdrev til hver bruger, på denne måde kan du rådgive dem til at gemme deres dokumenter på "H" -drevet, snarere end at forsøge at forklare, hvordan man forbinder til en del. For at kortlægge et drev skal du åbne Computer og klikke på knappen "Map network drive".
Indtast simpelthen UNC-stien til aktien.
Du spekulerer sikkert på, om du skal gøre det på enhver pc, og heldigvis er svaret nej. I stedet kan du skrive et batch script til automatisk at kortlægge drevene til dine brugere ved logon og implementere det via Gruppepolitik.
Hvis vi dissekerer kommandoen:
- Vi bruger netbrug kommando til at kortlægge drevet.
- Vi bruger * at angive, at vi vil bruge det næste tilgængelige drevbogstav.
- Endelig vi angiv aktien vi ønsker at kortlægge drevet til. Bemærk, at vi brugte citater, fordi UNC-stien indeholder mellemrum.
Kryptering af filer ved hjælp af krypteringsfilsystemet
Windows indeholder evnen til at kryptere filer på en NTFS-lydstyrke. Det betyder, at du kun vil kunne dekryptere filerne og se dem. For at kryptere en fil skal du blot højreklikke på den og vælge egenskaber fra kontekstmenuen.
Klik derefter på avanceret.
Marker afkrydsningsfeltet Krypter indhold for at sikre data, og klik derefter på OK.
Gå nu videre og anvend indstillingerne.
Vi behøver kun at kryptere filen, men du har mulighed for at kryptere også overordnede mappe.
Bemærk, at når filen er krypteret, bliver den grøn.
Du vil nu bemærke, at kun du vil kunne åbne filen, og at andre brugere på samme pc ikke vil kunne. Krypteringsprocessen bruger offentlig nøglekryptering, så hold dine krypteringsnøgler sikre. Hvis du mister dem, er din fil væk, og der er ingen mulighed for at genoprette den.
Lektier
- Lær om tilladelse arv og effektive tilladelser.
- Læs dette Microsoft-dokument.
- Lær hvorfor du vil bruge BranchCache.
- Lær, hvordan du deler printere, og hvorfor du vil.