Școala Geek Învățarea Windows 7 - Acces la resurse
În această instalare a Școlii Geek, ne uităm la virtualizarea folderelor, SID-urile și permisiunile, precum și la sistemul de criptare a fișierelor.
Asigurați-vă că verificați articolele anterioare din seria Geek School din Windows 7:
- Introducerea How-To Geek School
- Upgrade-uri și migrații
- Configurarea dispozitivelor
- Gestionarea discurilor
- Gestionarea aplicațiilor
- Gestionarea Internet Explorer
- Adresarea bazei de date IP
- Rețele
- Rețele fără fir
- Windows Firewall
- Administrare la distanță
- Acces de la distanță
- Monitorizarea, performanța și păstrarea Windows până la data de
Și stați liniștiți pentru restul seriei toată săptămâna aceasta.
Virtualizarea folderelor
Windows 7 a introdus noțiunea de biblioteci care vă permite să aveți o locație centralizată din care să puteți vedea resursele situate în altă parte a calculatorului dvs. Mai exact, caracteristica bibliotecilor vă permite să adăugați directoare de pe orice locație de pe computer la una din cele patru biblioteci implicite, Documente, Muzică, Video și Imagini, ușor accesibile din panoul de navigare al Windows Explorer.
Există două lucruri importante pe care trebuie să le notați despre caracteristica bibliotecii:
- Când adăugați un folder într-o bibliotecă, dosarul în sine nu se mișcă, mai degrabă se creează un link către locația folderului.
- Pentru a adăuga o partajare de rețea la bibliotecile dvs., trebuie să fie disponibil offline, deși puteți utiliza și o lucrare în jurul valorii de folosind link-uri simbolice.
Pentru a adăuga un dosar la o bibliotecă, pur și simplu intrați în bibliotecă și faceți clic pe linkul locații.
Apoi faceți clic pe butonul Adăugați.
Acum, găsiți folderul pe care doriți să-l includeți în bibliotecă și faceți clic pe butonul Include folderul.
Cam despre asta e.
Identificatorul de securitate
Sistemul de operare Windows utilizează SID-uri pentru a reprezenta toate principiile de securitate. SID-urile sunt șiruri de lungime variabilă de caractere alfanumerice care reprezintă mașini, utilizatori și grupuri. SID-urile sunt adăugate la ACL-uri (Liste de control acces) de fiecare dată când acordați permisiunea utilizatorului sau grupului unui fișier sau unui dosar. În spatele scenei, SID-urile sunt stocate la fel ca toate celelalte obiecte de date: în binar. Cu toate acestea, când vedeți un SID în Windows, acesta va fi afișat utilizând o sintaxă mai ușor de citit. Nu este adesea că veți vedea orice formă de SID în Windows; cel mai obișnuit scenariu este când acordați permisiunea unei anumite resurse, apoi ștergeți contul de utilizator. SID-ul va apărea apoi în ACL. Deci, vă permite să aruncați o privire la formatul tipic în care veți vedea SID-uri în Windows.
Notația pe care o veți vedea are o anumită sintaxă. Mai jos sunt diferitele părți ale SID.
- Un prefix "S"
- Numărul de revizie al structurii
- O valoare a autorității de identificare pe 48 de biți
- Un număr variabil de valori sub-autoritate pe 32 biți sau identificator relativ (RID)
Folosind SID-ul meu în imaginea de mai jos vom rupe secțiunile diferite pentru a obține o mai bună înțelegere.
Structura SID:
'S' - Prima componentă a unui SID este întotdeauna un "S". Acest lucru este prefixat tuturor SID-urilor și este acolo pentru a informa Windows că ceea ce urmează este un SID.
'1' - A doua componentă a SID este numărul de revizuire al specificației SID. Dacă specificația SID urma să se schimbe, ar oferi compatibilitate înapoi. Începând cu Windows 7 și Server 2008 R2, specificația SID se află încă în prima revizuire.
'5' - A treia secțiune a SID este numită Autoritatea de identificare. Aceasta definește în ce domeniu SID-ul a fost generat. Valorile posibile pentru aceste secțiuni ale SID pot fi:
- 0 - Autoritatea nulă
- 1 - Autoritatea Mondială
- 2 - Autoritatea locală
- 3 - Autoritatea Creatorului
- 4 - Autoritate non-unică
- 5 - Autoritatea NT
'21' - A patra componentă este sub-autoritatea 1. Valoarea "21" este utilizată în al patrulea câmp pentru a specifica că sub-autoritățile care urmează o identifică pe Mașina locală sau Domeniul.
'1206375286-251249764-2214032401' - Acestea se numesc sub-autorități 2,3 și respectiv 4. În exemplul nostru, acest lucru este folosit pentru a identifica mașina locală, dar poate fi și identificatorul unui domeniu.
'1000' - Sub-autoritatea 5 este ultima componentă din SID-ul nostru și se numește RID (Identifier relativ). RID-ul este relativ la fiecare principiu de securitate: vă rugăm să rețineți că orice obiecte definite de utilizator, cele care nu sunt expediate de Microsoft, vor avea un RID de 1000 sau mai mare.
Principiile de securitate
Un principiu de securitate este orice are un SID atașat la acesta. Acestea pot fi utilizatori, computere și chiar grupuri. Principiile de securitate pot fi locale sau pot fi în contextul domeniului. Administrați principiile de securitate locală prin intermediul modulului snap-in Local Users and Groups, sub managementul calculatorului. Pentru a ajunge acolo, faceți clic dreapta pe comanda rapidă de la computer din meniul Start și alegeți să gestionați.
Pentru a adăuga un nou principiu de securitate a utilizatorilor, puteți accesa folderul Utilizatori și faceți clic cu butonul din dreapta și selectați Utilizator nou.
Dacă dați dublu clic pe un utilizator, le puteți adăuga la un grup de securitate din fila Membru din.
Pentru a crea un nou grup de securitate, navigați la dosarul Grupuri din partea dreaptă. Faceți clic dreapta pe spațiul alb și selectați Grup nou.
Permiteți partajarea și permisiunea NTFS
În Windows există două tipuri de permisiuni pentru fișiere și foldere. În primul rând, există Permisele de distribuire. În al doilea rând, există permisiuni NTFS, care sunt numite și Permisiuni de securitate. Securizarea folderelor partajate se face, de obicei, cu o combinație de permisiuni Share și NTFS. Deoarece acesta este cazul, este esențial să ne amintim că întotdeauna se aplică permisiunea cea mai restrictivă. De exemplu, dacă permisiunea de partajare dă permisiunea de citire a principiului securității Everyone, dar permisiunea NTFS permite utilizatorilor să facă o modificare a fișierului, permisiunea de partajare va avea prioritate, iar utilizatorii nu vor avea permisiunea de a efectua modificări. Când setați permisiunile, LSASS (Local Security Authority) controlează accesul la resursă. Când vă conectați, vi se dă un jeton de acces cu SID-ul pe acesta. Când accesați resursele, LSASS compară SID-ul pe care l-ați adăugat la lista de control al accesului (ACL). Dacă SID se află pe ACL, acesta determină dacă să permită sau să refuze accesul. Indiferent de permisiunile pe care le utilizați, există diferențe, așa că haideți să aruncăm o privire pentru a înțelege mai bine când trebuie să folosim ce.
Permisiuni de partajare:
- Se aplică numai utilizatorilor care accesează resursa prin rețea. Acestea nu se aplică dacă vă conectați la nivel local, de exemplu prin intermediul serviciilor terminale.
- Se aplică tuturor fișierelor și dosarelor din resursa partajată. Dacă doriți să oferiți un tip mai restrâns de sistem de restricționare, ar trebui să utilizați Permisiunea NTFS în plus față de permisiunile partajate
- Dacă aveți volumuri formate FAT sau FAT32, aceasta va fi singura formă de restricție disponibilă, deoarece Permisiunile NTFS nu sunt disponibile pe acele sisteme de fișiere.
Permisiunile NTFS:
- Singura restricție privind Permisiunile NTFS este că acestea pot fi setate numai pe un volum formatat în sistemul de fișiere NTFS
- Amintiți-vă că Permisiunile NTFS sunt cumulative. Aceasta înseamnă că permisiunile efective ale unui utilizator sunt rezultatul combinării permisiunilor asociate utilizatorului și permisiunilor oricărui grup din care face parte utilizatorul.
Noile permisiuni de distribuire
Windows 7 a cumpărat de-a lungul unei noi tehnici de partajare "ușoară". Opțiunile s-au schimbat de la Citire, Schimbare și Control complet la Citire și Citire / Scriere. Ideea a făcut parte din întreaga mentalitate a grupului de acasă și face ușor partajarea unui dosar pentru persoanele care nu au cunoștințe de calculator. Acest lucru se face prin intermediul meniului contextual și se distribuie ușor cu grupul dvs. de domiciliu.
Dacă doriți să împărtășiți cu cineva care nu se află în grupul de domiciliu, puteți alege întotdeauna opțiunea "Persoane specifice ...". Care ar aduce un dialog mai "elaborat" în care să puteți specifica un utilizator sau un grup.
Există doar două permisiuni, așa cum am menționat anterior. Împreună, acestea oferă o schemă de protecție totală sau deloc pentru dosarele și fișierele dvs..
- Citit permisiunea este opțiunea "arăta, nu atinge". Destinatarii pot deschide, dar nu pot modifica sau șterge un fișier.
- Citeste, scrie este opțiunea "face orice". Destinatarii pot deschide, modifica sau șterge un fișier.
Permisiunea școlii vechi
Dialogul vechi de acțiuni a avut mai multe opțiuni, cum ar fi opțiunea de a partaja dosarul sub alt pseudonim. Ne-a permis să limităm numărul de conexiuni simultane, precum și să configuram cache-ul. Nici una dintre aceste funcționalități nu este pierdută în Windows 7, ci mai degrabă este ascunsă sub o opțiune numită "Partajare avansată". Dacă faceți clic dreapta pe un dosar și accesați proprietățile acestuia, puteți găsi aceste setări "Partajare avansată" în fila partajare.
Dacă dați clic pe butonul "Partajare avansată", care necesită acreditări ale administratorului local, puteți configura toate setările pe care le-ați familiarizat cu versiunile anterioare de Windows.
Dacă faceți clic pe butonul de permisiuni, veți primi cele 3 setări cu care suntem cu toții familiarizați.
- Citit permisiunea vă permite să vizualizați și să deschideți fișiere și subdirectoare, precum și să executați aplicații. Cu toate acestea, nu permite efectuarea de modificări.
- Modifica permisiunea vă permite să faceți orice Citit permit permisiunea și adaugă și capacitatea de a adăuga fișiere și subdirectoare, șterge subfolderele și modifică datele din fișiere.
- Control total este "face orice" din permisiunile clasice, deoarece vă permite să faceți oricare dintre permisiunile anterioare. În plus, vă oferă permisiunea avansată în schimbare NTFS, dar aceasta se aplică numai folderelor NTFS
Permisiuni NTFS
Permisiunile NTFS permit un control foarte granular asupra fișierelor și dosarelor. Cu aceasta a spus, cantitatea de granularitate poate fi descurajatoare pentru un nou venit. De asemenea, puteți seta permisiunea NTFS pe baza unui fișier, precum și o bază per folder. Pentru a seta Permisiunea NTFS pentru un fișier, trebuie să faceți clic dreapta și să mergeți la proprietățile fișierului, apoi să accesați fila de securitate.
Pentru a edita Permisiunile NTFS pentru un utilizator sau un grup, faceți clic pe butonul de editare.
După cum se poate vedea, există destul de multe permise NTFS, așa că haideți să le distrugem. În primul rând, vom examina Permisiunile NTFS pe care le puteți seta pe un fișier.
- Control total vă permite să citiți, să scrieți, să modificați, să executați, să modificați atributele, permisiunile și să preluați proprietatea asupra fișierului.
- Modifica vă permite să citiți, să scrieți, să modificați, să executați și să modificați atributele fișierului.
- Citiți și executați vă va permite să afișați datele, atributele, proprietarul și permisiunile fișierului și să executați fișierul dacă acesta este un program.
- Citit vă va permite să deschideți fișierul, să vizualizați atributele, proprietarul și permisiunile acestuia.
- Scrie vă va permite să scrieți date în fișier, să le adăugați la fișier și să le citiți sau să le modificați atributele.
Permisiunile NTFS pentru foldere au opțiuni puțin diferite, așa că le permite să le aruncăm o privire.
- Control total vă va permite să citiți, să scrieți, să modificați și să executați fișiere în dosar, să modificați atributele, permisiunile și să preluați proprietatea asupra dosarului sau a fișierelor din.
- Modifica vă va permite să citiți, să scrieți, să modificați și să executați fișiere în dosar și să schimbați atributele dosarului sau fișierelor din interiorul acestuia.
- Citiți și executați vă va permite să afișați conținutul dosarului și să afișați datele, atributele, proprietarul și permisiunile pentru fișierele din dosar și să rulați fișierele din dosar.
- Listați conținutul dosarului vă va permite să afișați conținutul dosarului și să afișați datele, atributele, proprietarul și permisiunile pentru fișierele din dosar și să rulați fișierele din dosar
- Citit vă va permite să afișați datele, atributele, proprietarul și permisiunile fișierului.
- Scrie vă va permite să scrieți date în fișier, să le adăugați la fișier și să le citiți sau să le modificați atributele.
rezumat
În rezumat, numele de utilizator și grupurile reprezintă reprezentări ale unui șir alfanumeric numit SID (Security Identifier). Partajarea și Permisiunile NTFS sunt legate de aceste SID-uri. Parolele de permisiune sunt verificate de LSSAS numai atunci când sunt accesate prin rețea, în timp ce Permisiunile NTFS sunt combinate cu permisiunile de partajare pentru a permite un nivel mai granular de securitate pentru resursele care sunt accesate atât pe rețea, cât și pe plan local.
Accesarea unei resurse partajate
Deci, acum că am aflat despre cele două metode pe care le putem folosi pentru a partaja conținutul pe PC-urile noastre, cum de fapt accesați-o prin rețea? Este foarte simplu. Doar introduceți următoarele în bara de navigare.
\\ computername \ numepartajare
Notă: Evident, va trebui să înlocuiți numele computerului pentru numele PC-ului care găzduiește partajarea și numele de partajare pentru numele partajului.
Acest lucru este minunat pentru conexiunile odată, dar ce zici într-un mediu corporativ mai mare? Cu siguranță, nu trebuie să îi învățați pe utilizatori cum să se conecteze la o resursă de rețea utilizând această metodă. Pentru a face acest lucru, veți dori să cartografiați o unitate de rețea pentru fiecare utilizator, astfel încât să îi puteți sfătui să-și păstreze documentele pe unitatea "H", în loc să încerce să explice cum să vă conectați la o acțiune. Pentru a mapa o unitate, deschideți Computer și faceți clic pe butonul "Map network drive".
Apoi pur și simplu introduceți calea UNC a cotei.
Probabil vă întrebați dacă trebuie să faceți acest lucru pe fiecare PC și, din fericire, răspunsul este nu. Mai degrabă, puteți scrie un script batch pentru a cartografia automat unitățile pentru utilizatorii dvs. la conectare și pentru ao implementa prin intermediul politicii de grup.
Dacă vom diseca comanda:
- Folosim utilizarea netă comanda pentru a cartografia unitatea.
- Noi folosim * pentru a indica faptul că dorim să folosim următoarea literă de unitate disponibilă.
- În cele din urmă, noi specificați cota vrem să cartografiem unitatea. Observați că am folosit citate, deoarece calea UNC conține spații.
Criptarea fișierelor utilizând sistemul de fișiere de criptare
Windows include capacitatea de a cripta fișierele pe un volum NTFS. Aceasta înseamnă că numai dvs. veți putea decripta fișierele și le puteți vizualiza. Pentru a cripta un fișier, faceți clic dreapta pe el și selectați proprietăți din meniul contextual.
Apoi faceți clic pe avansat.
Acum bifați caseta de selectare Criptare conținuturi securizate, apoi faceți clic pe OK.
Acum mergeți mai departe și aplicați setările.
Trebuie doar să criptați fișierul, dar aveți și opțiunea de criptare a dosarului părinte.
Luați notă că, odată ce fișierul este criptat, devine verde.
Veți observa acum că doar tu vei putea să deschizi fișierul și că alți utilizatori de pe același PC nu vor putea. Procesul de criptare utilizează criptarea cheii publice, astfel păstrați-vă cheile de criptare în siguranță. Dacă le pierzi, dosarul tău nu mai există și nu există nicio modalitate de recuperare.
Teme pentru acasă
- Aflați despre moștenirea permisiunii și permisiunile efective.
- Citiți acest document Microsoft.
- Aflați de ce doriți să utilizați BranchCache.
- Aflați cum să partajați imprimantele și de ce doriți să faceți acest lucru.