Cum să înțeleagă acele confuzii Windows 7 File / Share Permisiuni

Ați încercat vreodată să aflați toate permisiunile din Windows? Există permisiuni de partajare, permisiuni NTFS, liste de control acces și multe altele. Iată cum funcționează toți împreună.

Identificatorul de securitate

Sistemele de operare Windows utilizează SID-uri pentru a reprezenta toate principiile de securitate. SID-urile sunt șiruri de lungime variabilă de caractere alfanumerice care reprezintă mașini, utilizatori și grupuri. SID-urile sunt adăugate la ACL-uri (Liste de control acces) de fiecare dată când acordați permisiunea utilizatorului sau grupului unui fișier sau unui dosar. În spatele scenei SID-urile sunt stocate la fel ca toate celelalte obiecte de date, în binar. Cu toate acestea, atunci când vedeți un SID în Windows, acesta va fi afișat utilizând o sintaxă mai ușor de citit. Nu este adesea că veți vedea orice formă de SID în Windows, cel mai frecvent scenariu fiind atunci când acordați unei persoane permisiunea unei resurse, apoi contul de utilizator este șters, acesta va apărea apoi ca SID în ACL. Deci, vă permite să aruncați o privire la formatul tipic în care veți vedea SID-uri în Windows.

Notația pe care o veți vedea are o anumită sintaxă, mai jos sunt diferitele părți ale unui SID în această notație.

1. Un prefix "S"
2. Numărul de revizie al structurii
3. O valoare a autorității de identificare pe 48 de biți
4. Un număr variabil de valori sub-autoritate pe 32 biți sau identificator relativ (RID)

Folosind SID-ul meu în imaginea de mai jos vom rupe secțiunile diferite pentru a obține o mai bună înțelegere.

Structura SID:

'S' - Prima componentă a unui SID este întotdeauna un "S". Acest lucru este prefixat tuturor SID-urilor și este acolo pentru a informa Windows că ceea ce urmează este un SID.
'1' - A doua componentă a unui SID este numărul de revizie al caietului de sarcini SID, dacă specificația SID ar trebui să-l modifice, ar oferi compatibilitate înapoi. Începând cu Windows 7 și Server 2008 R2, specificația SID este încă în prima revizie.
'5' - A treia secțiune a SID este numită Autoritatea de identificare. Aceasta definește în ce domeniu SID-ul a fost generat. Valorile posibile pentru aceste secțiuni ale SID pot fi:

1. 0 - Autoritatea nulă
2. 1 - Autoritatea Mondială
3. 2 - Autoritatea locală
4. 3 - Autoritatea Creatorului
5. 4 - Autoritate non-unică
6. 5 - Autoritatea NT

'21' - A patra componentă este sub-autoritatea 1, valoarea "21" este folosită în al patrulea câmp pentru a specifica faptul că sub-autoritățile care urmează identifică mașina locală sau domeniul.
'1206375286-251249764-2214032401' - Acestea se numesc sub-autorități 2,3 și respectiv 4. În exemplul nostru, acest lucru este folosit pentru a identifica mașina locală, dar poate fi și identificatorul unui domeniu.
'1000' - Sub-autoritatea 5 este ultima componentă a SID-ului nostru și se numește RID (Relative Identifier), RID-ul este relativ la fiecare principiu de securitate, vă rugăm să rețineți că orice obiecte definite de utilizator, cele care nu sunt livrate de Microsoft vor avea un RID de 1000 sau mai mult.

Principiile de securitate

Un principiu de securitate este orice are un SID atașat la acesta, acestea pot fi utilizatori, computere și chiar grupuri. Principiile de securitate pot fi locale sau pot fi în contextul domeniului. Administrați principiile de securitate locală prin intermediul modulului snap-in Local Users and Groups, sub managementul calculatorului. Pentru a ajunge acolo, faceți clic dreapta pe comanda rapidă din meniul Start și alegeți administrarea.

Pentru a adăuga un nou principiu de securitate a utilizatorilor, puteți accesa folderul utilizatorilor, faceți clic dreapta și alegeți un utilizator nou.

Dacă dați dublu clic pe un utilizator, le puteți adăuga la un grup de securitate din fila Membru din.

Pentru a crea un nou grup de securitate, navigați la dosarul Grupuri din partea dreaptă. Faceți clic dreapta pe spațiul alb și selectați un grup nou.

Permiteți partajarea și permisiunea NTFS

În Windows există două tipuri de permisiuni pentru fișiere și foldere, mai întâi există Permisiuni de partajare și, în al doilea rând, există Permisiuni NTFS numite și Permisiuni de securitate. Rețineți că atunci când partajați un dosar în mod prestabilit, grupul "Toată lumea" primește permisiunea de citire. Securitatea folderelor se face, de obicei, printr-o combinație de Permisiune partajare și NTFS, dacă este cazul, este necesar să rețineți că se aplică întotdeauna cel mai restrictiv, de exemplu dacă permisiunea de partajare este setată la Everyone = Read (care este implicit) dar Permisiunea NTFS permite utilizatorilor să facă o modificare a fișierului, Permisiunea de distribuire va avea preferințe și nu li se va permite utilizatorilor să facă schimbări. Când setați permisiunile, LSASS (Autoritatea locală de securitate) controlează accesul la resursă. Când vă conectați, vi se dă un indicativ de acces cu SID-ul dvs., când accesați resursele, LSASS compară SID-ul pe care l-ați adăugat la lista de control al accesului (ACL) și dacă SID se află pe ACL, determină dacă permite sau refuza accesul. Indiferent de permisiunile pe care le folosiți, există diferențe, deci vă permite să aruncați o privire pentru a înțelege mai bine când trebuie să folosim ce.

Permisiuni de partajare:

1. Se aplică numai utilizatorilor care accesează resursa prin rețea. Acestea nu se aplică dacă vă conectați la nivel local, de exemplu prin intermediul serviciilor terminale.
2. Se aplică tuturor fișierelor și dosarelor din resursa partajată. Dacă doriți să oferiți un tip mai restrâns de sistem de restricționare, ar trebui să utilizați Permisiunea NTFS în plus față de permisiunile partajate
3. Dacă aveți volumuri formate FAT sau FAT32, aceasta va fi singura formă de restricție disponibilă, deoarece Permisiunile NTFS nu sunt disponibile pe acele sisteme de fișiere.

Permisiunile NTFS:

1. Singura restricție privind Permisiunile NTFS este că acestea pot fi setate numai pe un volum formatat în sistemul de fișiere NTFS
2. Amintiți-vă că NTFS sunt cumulative, ceea ce înseamnă că permisiunile eficiente pentru utilizatori sunt rezultatul combinării permisiunilor asociate utilizatorului și permisiunilor oricărui grup din care aparține utilizatorului.

Noile permisiuni de distribuire

Windows 7 a cumpărat de-a lungul unei noi tehnici de partajare "ușoară". Opțiunile s-au schimbat de la Citire, Schimbare și Control complet la. Citiți și Citiți / Scrieți. Ideea a făcut parte din întreaga mentalitate a Grupului de acasă și face ușor împărtășirea unui dosar pentru persoanele care nu cunosc calculatorul. Acest lucru se face prin meniul contextual și permite accesul ușor la grupul de domiciliu.

Dacă doriți să partajați cu cineva care nu este în grupul de domiciliu, puteți alege întotdeauna opțiunea "Persoane specifice ...". Ceea ce ar aduce un dialog mai "elaborat". Unde puteți specifica un anumit utilizator sau grup.

Există doar două permisiuni, așa cum am menționat anterior, împreună oferă o schemă de protecție totală sau nimic pentru dosarele și fișierele dvs..

1. Citit permisiunea este opțiunea "arăta, nu atinge". Destinatarii pot deschide, dar nu pot modifica sau șterge un fișier.
2. Citeste, scrie este opțiunea "face orice". Destinatarii pot deschide, modifica sau șterge un fișier.

Calea școlii vechi

Dialogul vechi de acțiuni a avut mai multe opțiuni și ne-a oferit opțiunea de a partaja dosarul sub alt pseudonim, ne-a permis să limităm numărul de conexiuni simultane, precum și să configuram cache-ul. Niciuna dintre aceste funcționalități nu este pierdută în Windows 7, ci mai degrabă este ascunsă sub o opțiune numită "Partajare avansată". Dacă faceți clic dreapta pe un dosar și accesați proprietățile acestuia, puteți găsi aceste setări "Partajare avansată" în fila partajare.

Dacă dați clic pe butonul "Partajare avansată", care necesită acreditări ale administratorului local, puteți configura toate setările pe care le-ați familiarizat cu versiunile anterioare de Windows.

Dacă faceți clic pe butonul de permisiuni, veți primi cele 3 setări cu care suntem cu toții familiarizați.

1. Citit permisiunea vă permite să vizualizați și să deschideți fișiere și subdirectoare, precum și să executați aplicații. Cu toate acestea, nu permite efectuarea de modificări.
2. Modifica permisiunea vă permite să faceți orice Citit permite permisiunea, adaugă și capacitatea de a adăuga fișiere și subdirectoare, șterge subfolderele și modifică datele în fișiere.
3. Control total este "face orice" din permisiunile clasice, deoarece vă permite să faceți oricare dintre permisiunile anterioare. În plus, vă oferă permisiunea avansată în schimbare NTFS, aceasta se aplică numai folderelor NTFS

Permisiuni NTFS

Permisiunea NTFS permite un control foarte granular asupra fișierelor și folderelor. Cu aceasta a spus cantitatea de granularitate poate fi descurajatoare pentru un nou venit. De asemenea, puteți seta permisiunea NTFS pe baza unui fișier, precum și o bază per folder. Pentru a seta Permisiunea NTFS pe un fișier, trebuie să faceți clic dreapta și să mergeți la proprietățile fișierelor unde trebuie să mergeți la fila de securitate.

Pentru a edita Permisiunile NTFS pentru un utilizator sau un grup, faceți clic pe butonul de editare.

După cum puteți vedea, există destul de multe permise NTFS, astfel încât le permite să le rupeți. Mai întâi vom examina Permisiunile NTFS pe care le puteți seta pe un fișier.

1. Control total vă permite să citiți, să scrieți, să modificați, să executați, să modificați atributele, permisiunile și să preluați proprietatea asupra fișierului.
2. Modifica vă permite să citiți, să scrieți, să modificați, să executați și să modificați atributele fișierului.
3. Citiți și executați vă va permite să afișați datele, atributele, proprietarul și permisiunile fișierului și să rulați fișierul dacă este un program.
4. Citit vă va permite să deschideți fișierul, să vizualizați atributele, proprietarul și permisiunile acestuia.
5. Scrie vă va permite să scrieți date în fișier, să le adăugați la fișier și să le citiți sau să le modificați atributele.

Permisiunile NTFS pentru foldere au opțiuni ușor diferite, astfel încât să le aruncăm o privire.

1. Control total vă permite să citiți, să scrieți, să modificați și să executați fișiere în dosar, să modificați atributele, permisiunile și să preluați proprietatea asupra dosarului sau a fișierelor în.
2. Modifica vă permite să citiți, să scrieți, să modificați și să executați fișiere în dosar și să schimbați atributele dosarului sau fișierelor înăuntru.
3. Citiți și executați vă va permite să afișați conținutul dosarului și să afișați datele, atributele, proprietarul și permisiunile pentru fișierele din dosar și să rulați fișierele din dosar.
4. Listați conținutul dosarului vă va permite să afișați conținutul dosarului și să afișați datele, atributele, proprietarul și permisiunile pentru fișierele din folder.
5. Citit vă va permite să afișați datele, atributele, proprietarul și permisiunile fișierului.
6. Scrie vă va permite să scrieți date în fișier, să le adăugați la fișier și să le citiți sau să le modificați atributele.

De asemenea, documentația Microsoft afirmă că "Folder List Contents" vă permite să executați fișierele din dosar, dar va trebui să activați în continuare "Read & Execute" pentru a face acest lucru. Este o permisiune destul de confuză documentată.

rezumat

În rezumat, numele și grupurile de utilizatori sunt reprezentări ale unui șir alfanumeric denumit SID (Security Identifier), Permisiunile Share și NTFS sunt legate de aceste SID-uri. Parolele de permisiune sunt verificate de LSSAS numai atunci când sunt accesate prin rețea, în timp ce Permisiunile NTFS sunt valabile numai pentru mașinile locale. Sper că toți aveți o înțelegere solidă a modului în care securitatea fișierelor și a dosarelor în Windows 7 este implementată. Dacă aveți întrebări, nu ezitați să renunțați la comentarii.