Hjemmeside » hvordan » Sådan forstår du de forvirrende Windows 7 File / Share Tilladelser

    Sådan forstår du de forvirrende Windows 7 File / Share Tilladelser

    Har du nogensinde prøvet at finde ud af alle tilladelserne i Windows? Der er del tilladelser, NTFS tilladelser, adgangskontrol lister og meget mere. Sådan arbejder de sammen.

    Sikkerhedsidentifikatoren

    Windows-operativsystemerne bruger SID'er til at repræsentere alle sikkerhedsprincipper. SID'er er kun strenge med variabel længde med alfanumeriske tegn, der repræsenterer maskiner, brugere og grupper. SID'er tilføjes til ACL (Access Control Lists), hver gang du giver en bruger eller gruppe tilladelse til en fil eller mappe. Bagved scenen gemmes SID'erne på samme måde som alle andre dataobjekter er i binære. Men når du ser et SID i Windows, vises det med en mere læsbar syntaks. Det er ikke ofte, at du vil se nogen form for SID i Windows. Det mest almindelige scenario er, når du giver nogen tilladelse til en ressource, så slettes deres brugerkonto, så vises den som et SID i ACL. Så lad os se på det typiske format, hvor du vil se SID'er i Windows.

    Notationen, som du vil se, tager en vis syntaks, herunder er de forskellige dele af et SID i denne notation.

    1. Et 'S' præfiks
    2. Strukturrevisionsnummer
    3. En 48-bit identifikationsmyndighedsværdi
    4. Et variabelt antal 32-bit sub-authority eller relative identifikator (RID) værdier

    Ved hjælp af mit SID i billedet nedenfor vil vi opdele de forskellige sektioner for at få en bedre forståelse.

    SID-strukturen:

    'S' - Den første komponent i et SID er altid en 'S'. Dette er prefixed til alle SID'er og er der for at informere Windows om, at det følgende er et SID.
    '1' - Den anden komponent i et SID er revisionsnummeret til SID-specifikationen, hvis SID-specifikationen skulle ændres, ville den give kompatibilitet bagud. I Windows 7 og Server 2008 R2 er SID-specifikationen stadig i den første revision.
    '5' - Den tredje sektion af et SID hedder identifikationsmyndigheden. Dette definerer i hvilket omfang SID'en blev genereret. Mulige værdier for disse sektioner af SID kan være:

    1. 0 - Null Authority
    2. 1 - Verdensmyndighed
    3. 2 - Lokal myndighed
    4. 3 - Creator Authority
    5. 4 - Ikke-unik myndighed
    6. 5 - NT Authority

    '21' - Den fjerde komponent er undermyndighed 1, værdien '21' anvendes i det forrige felt for at angive, at de undermyndigheder, der følger, identificerer den lokale maskine eller domænet.
    '1206375286-251249764-2214032401' - Disse kaldes undermyndighed 2,3 og 4 henholdsvis. I vores eksempel bruges dette til at identificere den lokale maskine, men det kan også være identifikatoren for et domæne.
    '1000' - Undermyndighed 5 er den sidste komponent i vores SID og kaldes RID (Relativ Identifier), RID er i forhold til hvert sikkerhedsprincip. Bemærk venligst, at alle brugerdefinerede objekter, dem, der ikke afsendes af Microsoft, vil have et RID på 1000 eller derover.

    Sikkerhedsprincipper

    Et sikkerhedsprincip er noget, der har et SID knyttet til det, det kan være brugere, computere og lige grupper. Sikkerhedsprincipper kan være lokale eller være i domænet sammenhæng. Du håndterer lokale sikkerhedsprincipper gennem indlæsningen Lokale brugere og grupper under computerstyring. For at komme derhen skal du højreklikke på computerens genvej i startmenuen og vælge at administrere.

    For at tilføje et nyt brugersikkerhedsprincip kan du gå til brugerens mappe og højreklikke og vælge ny bruger.

    Hvis du dobbeltklikker på en bruger, kan du tilføje dem til en sikkerhedsgruppe på fanen Medlem af.

    For at oprette en ny sikkerhedsgruppe skal du navigere til mappen Grupper på højre side. Højreklik på det hvide rum og vælg ny gruppe.

    Del tilladelser og NTFS-tilladelse

    I Windows er der to typer fil- og mappen tilladelser, for det første er der tilladelser til deling, og for det andet er der også NTFS-tilladelser, der også kaldes sikkerhedsrettigheder. Bemærk, at når du deler en mappe som standard, får gruppen "Alle" tilladelsen til læsning. Sikkerhed på mapper udføres normalt med en kombination af Share og NTFS Tilladelse, hvis det er tilfældet, at det er vigtigt at huske, at den mest restriktive altid gælder, for eksempel hvis share permission er indstillet til Alle = Læs (som er standard) men NTFS Tilladelsen tillader brugere at ændre på filen, vil Del Tilladelsen foretrække, og brugerne vil ikke få lov til at foretage ændringer. Når du indstiller tilladelserne, kontrollerer LSASS (Local Security Authority) adgang til ressourcen. Når du logger på, får du et adgangstegn med dit SID på det, når du går til adgangen til ressourcen, sammenligner LSASS det SID, du tilføjede til ACL (Access Control List), og hvis SID'en er på ACL, bestemmer den, om Tillad eller nægt adgang. Uanset hvilke tilladelser du bruger, er der forskelle, så lad os kigge for at få en bedre forståelse af, hvornår vi skal bruge hvad.

    Del tilladelser:

    1. Gælder kun for brugere, der har adgang til ressourcen over netværket. De gælder ikke, hvis du logger ind lokalt, f.eks. Via terminaltjenester.
    2. Det gælder for alle filer og mapper i den delte ressource. Hvis du vil give en mere granuleret slags begrænsningsordning, skal du bruge NTFS-tilladelse ud over delte tilladelser
    3. Hvis du har nogle formaterede FAT- eller FAT32-volumener, er dette den eneste form for begrænsning, der er tilgængelig for dig, da NTFS-tilladelser ikke er tilgængelige på disse filsystemer.

    NTFS Tilladelser:

    1. Den eneste begrænsning for NTFS-tilladelser er, at de kun kan indstilles på et volumen, der er formateret til NTFS-filsystemet
    2. Husk, at NTFS er kumulative, hvilket betyder, at en brugers effektive tilladelser er resultatet af at kombinere brugerens tildelte tilladelser og tilladelserne fra de grupper brugeren tilhører.

    De Nye Deltilladelser

    Windows 7 købt sammen med en ny "nem" delteknik. Indstillingerne ændret fra Læs, Skift og Fuld kontrol til. Læs og læs / skriv. Ideen var en del af hele hjemmegruppens mentalitet og gør det nemt at dele en mappe til ikke-computerbaserede mennesker. Dette gøres via kontekstmenuen og deler nemt med din hjemmegruppe.

    Hvis du vil dele med en person, der ikke er hjemme i gruppen, kan du altid vælge indstillingen "Specifikke mennesker". Hvilket ville bringe en mere uddybet dialog. Hvor du kunne angive en bestemt bruger eller gruppe.

    Der er kun to tilladelser som tidligere nævnt, og de tilbyder sammen et helt eller intet beskyttelsesprogram til dine mapper og filer.

    1. Læs tilladelse er "look, touch ikke" mulighed. Modtagere kan åbne, men ikke ændre eller slette en fil.
    2. Læse skrive er "gøre noget" mulighed. Modtagere kan åbne, ændre eller slette en fil.

    Den gamle skolevej

    Den gamle deledialog havde flere muligheder og gav os mulighed for at dele mappen under et andet alias, det tillod os at begrænse antallet af samtidige forbindelser samt konfigurere caching. Ingen af ​​denne funktionalitet er tabt i Windows 7, men er snarere skjult under en mulighed kaldet "Advanced Sharing". Hvis du højreklikker på en mappe og går til dens egenskaber, kan du finde disse indstillinger "Avanceret deling" under fanen Deling.

    Hvis du klikker på knappen "Avanceret deling", som kræver lokale administratoroplysninger, kan du konfigurere alle de indstillinger, du var bekendt med i tidligere versioner af Windows.

    Hvis du klikker på tilladelsesknappen, bliver du præsenteret for de 3 indstillinger, som vi alle er bekendt med.

    1. Læs tilladelse giver dig mulighed for at se og åbne filer og underkataloger samt udføre programmer. Det tillader dog ikke, at der foretages ændringer.
    2. Modificere tilladelse giver dig mulighed for at gøre alt det Læs tilladelse tillader det også tilføje evnen til at tilføje filer og undermapper, slette undermapper og ændre data i filerne.
    3. Fuld kontrol er "gør noget" af de klassiske tilladelser, da det giver dig mulighed for at gøre alle de tidligere tilladelser. Derudover giver den dig den avancerede skiftende NTFS-tilladelse, dette gælder kun for NTFS-mapper

    NTFS-tilladelser

    NTFS Tilladelse giver mulighed for meget granulær kontrol over dine filer og mapper. Med det sagt kan mængden af ​​granularitet være skræmmende for en nykommer. Du kan også indstille NTFS-tilladelse pr. Filbasis samt en mappebasis. For at indstille NTFS-tilladelse til en fil skal du højreklikke og gå til filegenskaberne, hvor du skal gå til sikkerhedsfanen.

    Hvis du vil redigere NTFS-tilladelserne for en bruger eller gruppe, skal du klikke på redigeringsknappen.

    Som du måske ser, er der en hel del NTFS-tilladelser, så vi kan nedbryde dem. Først vil vi se på de NTFS Tilladelser, som du kan indstille på en fil.

    1. Fuld kontrol giver dig mulighed for at læse, skrive, ændre, udføre, ændre attributter, tilladelser og tage ejerskab af filen.
    2. Modificere giver dig mulighed for at læse, skrive, ændre, udføre og ændre filens attributter.
    3. Læs og udfør vil give dig mulighed for at vise filens data, attributter, ejer og tilladelser og køre filen, hvis det er et program.
    4. Læs vil tillade dig at åbne filen, se dens attributter, ejer og tilladelser.
    5. Skrive vil tillade dig at skrive data til filen, tilføje til filen og læse eller ændre dens attributter.

    NTFS-tilladelser til mapper har lidt forskellige muligheder, så vi kan se dem.

    1. Fuld kontrol giver dig mulighed for at læse, skrive, ændre og udføre filer i mappen, ændre attributter, tilladelser og tage ejerskab af mappen eller filerne indenfor.
    2. Modificere giver dig mulighed for at læse, skrive, ændre og udføre filer i mappen og ændre attributter af mappen eller filerne indenfor.
    3. Læs og udfør vil give dig mulighed for at vise mappens indhold og vise data, attributter, ejer og tilladelser til filer i mappen og køre filer i mappen.
    4. Liste mappe indhold vil give dig mulighed for at vise mappens indhold og vise data, attributter, ejer og tilladelser til filer i mappen.
    5. Læs vil tillade dig at vise filens data, attributter, ejer og tilladelser.
    6. Skrive vil tillade dig at skrive data til filen, tilføje til filen og læse eller ændre dens attributter.

    I Microsoft's dokumentation hedder det også, at "List Folder Contents" vil lade dig udføre filer i mappen, men det skal du stadig aktivere "Read & Execute" for at gøre det. Det er en meget forvirrende dokumenteret tilladelse.

    Resumé

    Sammenfattende er brugernavne og grupper repræsentationer af en alfanumerisk streng kaldet SID (Security Identifier), Share og NTFS Tilladelser er bundet til disse SID'er. Del Tilladelser kontrolleres kun af LSSAS, når de åbnes via netværket, mens NTFS-tilladelser kun er gyldige på de lokale maskiner. Jeg håber, at du alle har en god forståelse for, hvordan fil- og mappesikkerhed i Windows 7 implementeres. Hvis du har spørgsmål, er du velkommen til at lette af i kommentarerne.