Geek iskolai tanulás Windows 7 - Erőforrás-hozzáférés
A Geek Iskola ebben a telepítésében megnézzük a Folder Virtualization-t, az SID-eket és az engedélyeket, valamint a titkosító fájlrendszert..
Győződjön meg róla, hogy a Geek Iskola sorozat korábbi cikkeit a Windows 7 rendszerben nézze meg:
- A How-To Geek iskola bemutatása
- Frissítések és áttelepítések
- Eszközök konfigurálása
- A lemezek kezelése
- Alkalmazások kezelése
- Az Internet Explorer kezelése
- IP címzés alapjai
- Hálózat
- Vezeték nélküli hálózat
- Windows tűzfal
- Távfelügyelet
- Távoli hozzáférés
- Monitoring, teljesítmény és a Windows naprakészen tartása
Ezen a héten maradjon a többi sorozatban is.
Mappa virtualizáció
A Windows 7 bemutatta a könyvtárak fogalmát, amely lehetővé tette, hogy központosított helyet kaphasson, ahonnan megtekintheti a számítógépén található más forrásokat. Pontosabban, a könyvtárak funkciója lehetővé tette, hogy a számítógép bármely pontjáról mappákat adjon hozzá a négy alapértelmezett könyvtár, a Dokumentumok, a Zene, a Videók és a képek egyikéhez, amelyek könnyen hozzáférhetők a Windows Intéző navigációs ablaktábláján.
A könyvtári funkcióval kapcsolatban két fontos dolog van:
- Amikor egy könyvtárat hozzáad egy könyvtárhoz, maga a mappa nem mozdul el, hanem egy link jön létre a mappa helyére.
- Annak érdekében, hogy a hálózati könyvtárat hozzáadhassa a könyvtárakhoz, elérhetőnek kell lennie offline állapotban, bár szimbolikus hivatkozások használatával is használhat egy munkát.
Ha könyvtárat szeretne hozzáadni egy könyvtárhoz, egyszerűen lépjen be a könyvtárba, és kattintson a hely linkre.
Ezután kattintson az Add gombra.
Most keresse meg azt a mappát, amelybe a könyvtárat be szeretné venni, és kattintson a Mappa felvétele gombra.
Ez az egész.
A biztonsági azonosító
A Windows operációs rendszer az SID-eket használja az összes biztonsági elv képviseletére. Az SID-ek csak változó hosszúságú karakterek, amelyek a gépeket, felhasználókat és csoportokat képviselik. Az SID-eket minden alkalommal hozzáadja az ACL-ekhez (Access Control Lists), amikor egy felhasználónak vagy csoportnak engedélyt ad egy fájlnak vagy mappának. A jelenetek mögött az SID-ek ugyanúgy tárolódnak, mint az összes többi adatobjektum: binárisan. Ha azonban egy SID-t lát a Windowsban, akkor egy olvashatóbb szintaxis segítségével jelenik meg. Nem gyakori, hogy a SID-t bármilyen formában látja a Windowsban; a leggyakoribb forgatókönyv az, ha valaki engedélyt ad egy erőforráshoz, majd törölje felhasználói fiókját. Ezután az SID megjelenik az ACL-ben. Így megnézhetjük azt a tipikus formátumot, amelyen a SID-eket látni fogja a Windows rendszerben.
Az a jelölés, amelyet látni fog, egy bizonyos szintaxist vesz igénybe. Az alábbiakban az SID különböző részei találhatók.
- Egy 'S' előtag
- Felépítés felülvizsgálati száma
- 48 bites azonosító jogosultsági érték
- Változó számú 32 bites alhatóság vagy relatív azonosító (RID) érték
Az alábbi képen az SID-et használva feloszlatjuk a különböző részeket, hogy jobban megértsük.
Az SID felépítése:
'S' - Az SID első összetevője mindig 'S'. Ez minden SID-hez kapcsolódik, és arról van szó, hogy tájékoztassa a Windows-t arról, hogy az alábbiak egy SID-t tartalmaznak.
'1' - Az SID második összetevője az SID specifikáció verziószáma. Ha az SID-specifikációnak módosítania kellene, akkor visszafelé kompatibilitást biztosítana. Mivel a Windows 7 és a Server 2008 R2, az SID specifikáció még mindig az első változatban van.
'5' - Az SID harmadik szakasza az azonosító hatóság. Ez határozza meg, hogy a SID milyen körben jött létre. Az SID ezen részeinek lehetséges értékei lehetnek:
- 0 - Null Hatóság
- 1 - Világhatóság
- 2 - Helyi hatóság
- 3 - Teremtő Hatóság
- 4 - Nem egyedi hatóság
- 5 - NT hatóság
'21' - A negyedik összetevő az al-jogosultság. 1. A negyedik mezőben a „21” értéket adja meg annak meghatározására, hogy az alábbi alhatóságok azonosítják a helyi gépet vagy a tartományt.
'1206375286-251249764-2214032401' - Ezeket 2,3-as és 4-es alhatóságnak nevezik. Példánkban ezt a helyi gép azonosítására használják, de lehet egy Domain azonosítója is.
'1000' - Az 5-ös alrendszer az SID utolsó összetevője, és RID (Relative Identifier). A RID az egyes biztonsági elvekhez viszonyítva: kérjük, vegye figyelembe, hogy a felhasználó által definiált objektumok, a Microsoft által nem szállított objektumok RID értéke legalább 1000.
Biztonsági elvek
A biztonsági elv minden, amihez hozzá van rendelve egy SID. Ezek lehetnek felhasználók, számítógépek és akár csoportok is. A biztonsági elvek helyiak lehetnek, vagy a tartományi környezetben lehetnek. A helyi biztonsági elveket a helyi felhasználók és csoportok beépülő modulján keresztül kezelheti számítógépes kezelés alatt. Ahhoz, hogy odaérjen, kattintson jobb gombbal a számítógép parancsikonjára a Start menüben, és válassza ki a kezelést.
Új felhasználói biztonság elvének hozzáadásához nyissa meg a Felhasználók mappát és kattintson jobb gombbal, és válassza az Új felhasználó lehetőséget.
Ha duplán rákattint egy felhasználóra, akkor hozzáadhatja őket a Biztonsági csoporthoz a Tagok lapján.
Új biztonsági csoport létrehozásához navigáljon a jobb oldalon található Csoportok mappába. Kattintson jobb gombbal a fehér térre, és válassza az Új csoport lehetőséget.
Engedélyek és NTFS-engedélyek megosztása
A Windows rendszerben kétféle típusú fájl és mappa engedély van. Először is vannak megosztási jogosultságok. Másodszor, vannak NTFS-engedélyek, amelyeket biztonsági engedélyeknek is neveznek. A megosztott mappák védelme általában a Share és NTFS jogosultságok kombinációjával történik. Mivel ez így van, fontos megjegyezni, hogy a legszűkebb engedély mindig érvényes. Például, ha a megosztási engedély megadja a Mindenki biztonság elve olvasási engedélyt, de az NTFS-engedély lehetővé teszi a felhasználók számára, hogy módosítsanak a fájlban, a megosztási jogosultság elsőbbséget élvez, és a felhasználók nem kaphatnak módosításokat. Az engedélyek beállításakor az LSASS (Helyi Biztonsági Hatóság) ellenőrzi az erőforráshoz való hozzáférést. Amikor bejelentkezik, hozzáférési token van megadva az SID-el. Az erőforrás eléréséhez az LSASS összehasonlítja az ACL-hez hozzáadott SID-t (Access Control List). Ha az SID az ACL-n van, meghatározza, hogy engedélyezi-e vagy tiltja a hozzáférést. Nem számít, milyen jogosultságokat használsz, vannak különbségek, ezért nézzük meg, hogy jobban megértsük, mikor kell használni.
Engedélyek megosztása:
- Csak olyan felhasználókra vonatkozik, akik hozzáférnek az erőforráshoz a hálózaton keresztül. Nem érvényesek, ha helyben jelentkezik be, például terminálszolgáltatások révén.
- Ez a megosztott erőforrás összes fájljára és mappájára vonatkozik. Ha nagyobb mértékű korlátozási rendszert szeretne biztosítani, akkor a megosztott jogosultságok mellett az NTFS engedélyt is használnia kell
- Ha bármilyen FAT vagy FAT32 formázott kötet van, ez az egyetlen korlátozásforma, amely az Ön számára elérhető, mivel az NTFS-engedélyek nem érhetők el ezeken a fájlrendszereken.
NTFS-engedélyek:
- Az NTFS-engedélyek egyetlen korlátozása az, hogy csak az NTFS-fájlrendszerrel formázott köteten lehet beállítani
- Ne feledje, hogy az NTFS-engedélyek halmozottak. Ez azt jelenti, hogy a felhasználó hatékony jogosultságai a felhasználó hozzárendelt engedélyeinek és a csoporthoz tartozó jogosultságok egyesítésének eredménye..
Az új megosztási engedélyek
A Windows 7 új „egyszerű” megosztási technikával vásárolt. A beállítások az Olvasás, a Módosítás és a Teljes vezérlés menüpont alatt olvasásra és olvasásra / írásra váltottak. Az ötlet az egész Homegroup-mentalitás részét képezte, és megkönnyíti a mappák megosztását a nem számítógépes írástudók számára. Ezt a helyi menü és a saját csoportjával könnyen megoszthatja.
Ha szeretne megosztani valakivel, aki nem az otthoni csoportban van, akkor mindig az „Egyedi emberek…” opciót választhatja. Melyik lenne egy „bonyolultabb” párbeszédablak, amelyben megadhat egy felhasználót vagy csoportot.
Csak két engedély létezik, amint azt korábban említettük. Együtt kínálnak egy vagy semmi védelmi rendszert a mappák és fájlok számára.
- Olvas az engedély a „look, don't touch” opció. A címzettek megnyithatják, de nem módosíthatják vagy törölhetik a fájlt.
- Ír olvas a „csinál semmit” opció. A címzettek megnyithatják, módosíthatják vagy törölhetik a fájlokat.
A régi iskola engedélye
A régi megosztás párbeszédablakban több lehetőség is volt, például a mappa megosztása más álnév szerint. Lehetővé tette számunkra, hogy korlátozzuk a párhuzamos kapcsolatok számát és a gyorsítótár konfigurálását. Ezen funkciók egyike sem vész el a Windows 7 rendszerben, hanem a „Advanced Sharing” (Speciális megosztás) opció alatt rejlik. Ha jobb egérgombbal rákattint egy mappára, és megy a tulajdonságaihoz, megtalálhatja ezeket az „Advanced Sharing” beállításokat a megosztási lap alatt.
Ha az „Advanced Sharing” (Speciális megosztás) gombra kattint, amely helyi rendszergazdai jogosultságokat igényel, akkor konfigurálhatja az összes olyan beállítást, amelyet ismernél a Windows korábbi verzióiban.
Ha rákattint a jogosultságok gombra, akkor a 3 beállítást bemutatjuk.
- Olvas az engedély lehetővé teszi a fájlok és alkönyvtárak megtekintését és megnyitását, valamint az alkalmazások végrehajtását. Azonban nem teszi lehetővé a módosítások elvégzését.
- Módosít az engedély lehetővé teszi, hogy bármit tegyen Olvas az engedély lehetővé teszi, valamint hozzáadja a fájlok és alkönyvtárak hozzáadásának képességét, az almappák törlését és a fájlok adatainak megváltoztatását.
- Teljes felügyelet a klasszikus jogosultságok „csinál semmit”, mivel lehetővé teszi, hogy bármelyik és minden korábbi engedélyt megtehessen. Ezenkívül megadja a fejlett változó NTFS-engedélyt, de ez csak az NTFS-mappákra vonatkozik
NTFS-engedélyek
Az NTFS-jogosultságok lehetővé teszik a fájlok és mappák rendkívül részletes ellenőrzését. Az elmondottak szerint az újdonságra nézve a granularitás mértéke ijesztő lehet. Az NTFS-engedélyt fájlalaponként és mappánként is beállíthatja. Az NTFS engedély engedélyezéséhez kattintson a jobb egérgombbal, és lépjen a fájl tulajdonságaira, majd lépjen a biztonsági fülre.
Egy felhasználó vagy csoport NTFS-engedélyeinek szerkesztéséhez kattintson a szerkesztés gombra.
Mint láthatod, elég sok NTFS-jogosultság van, így tegyük le őket. Először is megnézzük az NTFS-engedélyeket, amelyeket beállíthat egy fájlra.
- Teljes felügyelet lehetővé teszi az attribútumok, engedélyek olvasását, írását, módosítását, végrehajtását, megváltoztatását és tulajdonjogát.
- Módosít lehetővé teszi a fájl tulajdonságainak olvasását, írását, módosítását, végrehajtását és módosítását.
- Olvasás és végrehajtás lehetővé teszi, hogy megjelenítse a fájl adatait, attribútumait, tulajdonosát és engedélyeit, és futtassa a fájlt, ha egy program.
- Olvas lehetővé teszi a fájl megnyitását, attribútumait, tulajdonosát és engedélyeit.
- Ír lehetővé teszi, hogy adatokat írjon a fájlba, csatoljon a fájlhoz, és olvassa vagy módosítsa az attribútumokat.
Az NTFS-mappákhoz tartozó jogosultságok kissé eltérő opciókkal rendelkeznek, így megnézheti őket.
- Teljes felügyelet lehetővé teszi a mappában található fájlok olvasását, írását, módosítását és végrehajtását, attribútumok, jogosultságok módosítását és a mappa vagy fájlok tulajdonjogát a.
- Módosít lehetővé teszi a mappában található fájlok olvasását, írását, módosítását és végrehajtását, valamint a mappa vagy fájlok attribútumainak módosítását.
- Olvasás és végrehajtás lehetővé teszi, hogy megjelenítse a mappa tartalmát, és megjelenítse a mappában lévő fájlok adatait, attribútumait, tulajdonosát és engedélyeit, és futtassa a fájlokat a mappában.
- A mappa tartalma lehetővé teszi, hogy megjelenítse a mappa tartalmát, és megjelenítse a mappában lévő fájlok adatait, attribútumait, tulajdonosát és engedélyeit, és futtassa a fájlokat a mappában
- Olvas lehetővé teszi, hogy megjelenítse a fájl adatait, attribútumait, tulajdonosát és engedélyeit.
- Ír lehetővé teszi, hogy adatokat írjon a fájlba, csatoljon a fájlhoz, és olvassa vagy módosítsa az attribútumokat.
összefoglalás
Összefoglalva, a felhasználói nevek és csoportok egy SID (Security Identifier) nevű alfanumerikus karakterlánc ábrázolása. Megosztás és NTFS-engedélyek kapcsolódnak ezekhez az SID-hez. A megosztási jogosultságokat az LSSAS csak akkor ellenőrzi, ha a hálózaton keresztül érik el, míg az NTFS-engedélyek megosztása engedélyezési jogokkal kombinálva lehetővé teszi a hálózaton keresztül elérhető erőforrások fokozottabb szintű biztonságát, valamint a helyi szinten.
Megosztott erőforrás elérése
Tehát most, hogy megtanultuk a két módszert, amit a PC-k tartalmának megosztására használhatunk, hogyan jutsz el valójában a hálózaton keresztül? Nagyon egyszerű. Csak írja be a következőket a navigációs sávba.
\\ számítógépnév \ megosztás_neve
Megjegyzés: Nyilvánvalóan ki kell cserélnie a számítógép nevét annak a számítógépnek a nevére, amelyik megosztja a megosztást és a megosztás nevét..
Ez nagyszerű az egyszeri kapcsolatokra, de mi a helyzet egy nagyobb vállalati környezetben? Bizonyára nem kell tanítania a felhasználóknak, hogyan csatlakozhat egy hálózati erőforráshoz ezzel a módszerrel. Ennek eléréséhez minden felhasználó számára meg szeretné térképezni a hálózati meghajtót, így tanácsot adhat nekik, hogy a „H” meghajtón tárolják a dokumentumokat, és nem próbálják meg megmagyarázni, hogyan kell csatlakozni egy megosztáshoz. A meghajtó leképezéséhez nyissa meg a Számítógép elemet, majd kattintson a „Térkép hálózati meghajtó” gombra.
Ezután egyszerűen írja be az UNC elérési útját.
Valószínűleg azon tűnődsz, hogy ezt meg kell tenned minden PC-n, és szerencsére a válasz nem. Inkább írhat egy kötegelt szkriptet, hogy a bejelentkezéskor automatikusan térképezze fel a felhasználók meghajtóit, és a csoportházirend segítségével telepítse azt.
Ha levágjuk a parancsot:
- Használjuk a nettó használat parancsot a meghajtó térképezéséhez.
- Használjuk a * jelezni, hogy a következő elérhető meghajtóbetűjelet szeretnénk használni.
- Végül mi adja meg a megosztást szeretnénk feltérképezni a meghajtót. Figyeljük meg, hogy idézőjeleket használtunk, mert az UNC elérési útja szóközöket tartalmaz.
Fájlok titkosítása a titkosító fájlrendszer használatával
A Windows tartalmazza az NTFS-köteten lévő fájlok titkosításának képességét. Ez azt jelenti, hogy csak a fájlok dekódolására és megtekintésére lesz lehetőség. Egy fájl titkosításához egyszerűen kattintson rá jobb gombbal, és válassza ki a tulajdonságokat a helyi menüből.
Ezután kattintson a fejlett gombra.
Most jelölje be a Titkosítsa a tartalmat biztonságos adatokhoz jelölőnégyzetet, majd kattintson az OK gombra.
Most menjen előre, és alkalmazza a beállításokat.
Csak a fájlt kell titkosítanunk, de lehetősége van a szülőkatalógus titkosítására is.
Vegye figyelembe, hogy a fájl titkosítása után zöldre vált.
Most észre fogod venni, hogy csak akkor tudod megnyitni a fájlt, és az ugyanazon a számítógépen lévő többi felhasználó nem lesz képes. A titkosítási folyamat nyilvános kulcs titkosítást használ, így a titkosítási kulcsok biztonságosak. Ha elveszíti őket, a fájl eltűnt, és nincs mód annak helyreállítására.
Házi feladat
- Tudjon meg többet az engedély örökléséről és a hatékony engedélyekről.
- Olvassa el ezt a Microsoft dokumentumot.
- Ismerje meg, miért szeretné használni a BranchCache-t.
- Ismerje meg, hogyan ossza meg a nyomtatókat, és miért szeretné.