Úvodná » ako » Geek School Učenie systému Windows 7 - Prístup k zdrojom

    Geek School Učenie systému Windows 7 - Prístup k zdrojom

    V tejto inštalácii Geek School sa pozrieme na Virtualizáciu priečinkov, SID a povolenia, ako aj šifrovací súborový systém.

    Uistite sa, že ste si pozreli predchádzajúce články v tejto sérii Geek School v systéme Windows 7:

    • Predstavujeme How-To Geek School
    • Aktualizácie a migrácie
    • Konfigurácia zariadení
    • Správa diskov
    • Správa aplikácií
    • Správa programu Internet Explorer
    • Základy adresovania IP
    • Networking
    • Bezdrôtové siete
    • Brána firewall systému Windows
    • Vzdialená správa
    • Vzdialený prístup
    • Monitorovanie, výkon a udržanie systému Windows až do dnešného dňa

    A zostávajte na ladenie po zvyšok série celý tento týždeň.

    Virtualizácia priečinkov

    Systém Windows 7 predstavil pojem knižnice, ktorý vám umožnil mať centralizovanú polohu, z ktorej by ste mohli prezerať zdroje umiestnené inde v počítači. Konkrétne, funkcia knižníc vám umožnila pridať priečinky z ľubovoľného miesta počítača do jednej zo štyroch predvolených knižníc, Dokumenty, Hudba, Videá a Obrázky, ktoré sú ľahko dostupné z navigačnej table Windows Explorer.

    Existujú dve dôležité veci týkajúce sa funkcie knižnice:

    • Keď do knižnice pridáte priečinok, samotný priečinok sa nepohne, skôr sa vytvorí odkaz na umiestnenie priečinka.
    • Ak chcete pridať sieťové zdieľanie do svojich knižníc, musí byť k dispozícii v režime offline, aj keď by ste mohli používať prácu pomocou symbolických odkazov.

    Ak chcete do knižnice pridať priečinok, jednoducho prejdite do knižnice a kliknite na odkaz umiestnenia.

    Potom kliknite na tlačidlo Pridať.

    Teraz vyhľadajte priečinok, ktorý chcete zahrnúť do knižnice, a kliknite na tlačidlo Zahrnúť priečinok.

    To je všetko pre to.

    Identifikátor zabezpečenia

    Operačný systém Windows používa identifikátory SID na zastupovanie všetkých bezpečnostných zásad. SID sú iba reťazce s premenlivou dĺžkou alfanumerických znakov, ktoré predstavujú stroje, používateľov a skupiny. SID sa pridávajú do zoznamov prístupových práv (zoznamy prístupových práv) zakaždým, keď udeľujete používateľovi alebo skupinovému povoleniu súbor alebo priečinok. V zákulisí sú SID uložené rovnakým spôsobom ako všetky ostatné dátové objekty: v binárnom. Keď však v systéme Windows uvidíte identifikátor SID, zobrazí sa pomocou čitateľnejšej syntaxe. Často nie je vidieť žiadnu formu SID v systéme Windows; najčastejším prípadom je, keď udelíte niekomu povolenie na zdroj, potom odstráňte jeho používateľský účet. SID sa potom zobrazí v ACL. Takže sa môžete pozrieť na typický formát, v ktorom uvidíte SID v systéme Windows.

    Označenie, ktoré uvidíte, má určitú syntax. Nižšie sú uvedené rôzne časti SID.

    • Predpona "S"
    • Číslo revízie štruktúry
    • 48-bitová hodnota orgánu identifikátora
    • Premenlivý počet 32-bitových hodnôt podradených autorít alebo relatívnych identifikátorov (RID)

    Pomocou môjho SID na obrázku nižšie rozdelíme jednotlivé časti, aby sme lepšie porozumeli.

    Štruktúra SID:

    'S' - Prvá zložka SID je vždy "S". Toto je predpona pre všetky SID a je tu informovať Windows, že to, čo nasleduje, je SID.
    '1' - Druhou súčasťou SID je číslo revízie špecifikácie SID. Keby sa zmenila špecifikácia SID, poskytla by spätnú kompatibilitu. Od Windows 7 a Server 2008 R2 je špecifikácia SID stále v prvej revízii.
    '5' - Tretia časť SID sa nazýva orgán pre identifikáciu. Toto definuje, v akom rozsahu bol SID vytvorený. Možné hodnoty pre tieto časti SID môžu byť:

    • 0 - Null Authority
    • 1 - Svetový úrad
    • 2 - Miestny úrad
    • 3 - autorita autorov
    • 4 - Nejednotný orgán
    • 5 - Úrad NT

    '21' - Štvrtou zložkou je subregión 1. Hodnota "21" sa v štvrtom poli používa na určenie toho, že nasledujúce podriadené orgány identifikujú lokálny počítač alebo doménu.
    '1206375286-251249764-2214032401' - Tieto sa nazývajú podriadenie 2, 3 a 4. V našom príklade sa toto používa na identifikáciu lokálneho počítača, ale môže to byť aj identifikátor pre doménu.
    '1000' - Subregión 5 je posledná zložka nášho SID a nazýva sa RID (Relatívny identifikátor). RID sa vzťahuje na každý bezpečnostný princíp: upozorňujeme, že všetky objekty definované používateľom, ktoré nie sú dodávané spoločnosťou Microsoft, budú mať RID 1000 alebo viac.

    Bezpečnostné princípy

    Bezpečnostným princípom je všetko, čo má SID pripojené k nemu. Môžu to byť používatelia, počítače a dokonca aj skupiny. Bezpečnostné princípy môžu byť lokálne alebo môžu byť v kontexte domény. Spravujete zásady lokálnej bezpečnosti prostredníctvom modulu snap-in Lokálne používatelia a skupiny pod vedením počítača. Ak sa chcete tam dostať, kliknite pravým tlačidlom na skratku počítača v ponuke Štart a zvoľte správu.

    Ak chcete pridať nový princíp bezpečnosti používateľa, môžete prejsť do priečinka Používatelia a kliknúť pravým tlačidlom myši a vybrať Nový používateľ.

    Ak dvakrát kliknete na používateľa, môžete ho pridať do skupiny zabezpečenia na karte Člen.

    Ak chcete vytvoriť novú skupinu zabezpečenia, prejdite do priečinka Skupiny na pravej strane. Kliknite pravým tlačidlom na biely priestor a vyberte možnosť Nová skupina.

    Povolenie na zdieľanie a povolenie systému NTFS

    V systéme Windows existujú dva typy oprávnení na súbory a priečinky. Po prvé, existujú oprávnenia na zdieľanie. Po druhé, existujú oprávnenia systému NTFS, ktoré sa nazývajú aj bezpečnostné povolenia. Zabezpečenie zdieľaných priečinkov sa zvyčajne vykonáva s kombináciou oprávnení na zdieľanie a prijímanie súborov NTFS. Pretože je to tak, je nevyhnutné pamätať na to, že platí najviac obmedzujúce povolenie. Ak napríklad povolenie na zdieľanie udeľuje povolenie na čítanie podľa zásady Everyone, ale povolenie NTFS umožňuje používateľom vykonať zmenu v súbore, bude mať prednosť povolenie na zdieľanie a používatelia nebudú môcť vykonávať zmeny. Keď nastavíte povolenia, LSASS (Local Security Authority) riadi prístup k prostriedku. Keď sa prihlásite, dostanete prístupový token s vaším identifikátorom SID. Keď prejdete na prístup k prostriedku, LSASS porovná SID, ktorý ste pridali do zoznamu ACL (Access Control List). Ak je identifikátor SID v ACL, určuje, či povoliť alebo odmietnuť prístup. Bez ohľadu na to, aké povolenia používate, existujú rozdiely, takže sa pozrime na lepšie pochopenie toho, kedy by sme mali použiť to, čo.

    Povolenia na zdieľanie:

    • Platí iba pre používateľov, ktorí pristupujú k sieti prostredníctvom siete. Nepoužívajú sa, ak sa prihlásite na miestnej úrovni, napríklad prostredníctvom terminálových služieb.
    • Vzťahuje sa na všetky súbory a priečinky v zdieľanom prostriedku. Ak chcete poskytnúť podrobnejšiu schému obmedzenia, mali by ste okrem zdieľaných povolení používať aj oprávnenie NTFS
    • Ak máte akékoľvek zväzky formátované v systéme FAT alebo FAT32, bude to jediná forma obmedzenia, ktoré máte k dispozícii, pretože NTFS Permissions nie je k dispozícii v tých súborových systémoch.

    Povolenia NTFS:

    • Jediným obmedzením oprávnení systému NTFS je, že môžu byť nastavené iba na zväzok, ktorý je naformátovaný do súborového systému NTFS
    • Nezabudnite, že oprávnenia systému NTFS sú kumulatívne. To znamená, že efektívne povolenia používateľa sú výsledkom kombinácie pridelených oprávnení užívateľa a oprávnení všetkých skupín, ktorým používateľ patrí.

    Nové povolenia na zdieľanie

    Windows 7 si kúpil novú techniku ​​zdieľania. Možnosti sa zmenili z Read, Change a Full Control na Read a Read / Write. Myšlienka bola súčasťou celej mentality domácej skupiny a uľahčuje zdieľanie zložky pre ľudí bez počítača gramotnosti. Toto sa jednoducho uskutoční cez kontextové menu a zdieľa s domácou skupinou.

    Ak ste sa chceli podeliť s niekým, kto nie je v domácej skupine, môžete vždy vybrať možnosť "Osoby špecifické ...". Ktoré by priniesli viac "prepracované" dialógové okno, v ktorom by ste mohli špecifikovať používateľa alebo skupinu.

    Existujú iba dve povolenia, ako sme už uviedli. Spoločne ponúkajú schému ochrany údajov pre všetky priečinky a súbory.

    1. prečítať povolenie je voľba "pozrite, nedotýkajte sa". Príjemcovia môžu otvárať súbor, ale nesmú ho meniť ani mazať.
    2. Čítaj píš je možnosť "urobiť čokoľvek". Príjemcovia môžu otvoriť, upraviť alebo odstrániť súbor.

    Staré školské povolenie

    Starý zdieľaný dialóg mal viac možností, napríklad možnosť zdieľať priečinok pod iným aliasom. Umožnilo nám obmedziť počet súčasných pripojení a konfigurovať ukladanie do vyrovnávacej pamäte. Žiadna z týchto funkcií nie je v systéme Windows 7 stratená, ale je skrytá pod možnosťou "Rozšírené zdieľanie". Ak kliknete pravým tlačidlom myši na priečinok a prejdete na jeho vlastnosti, nájdete tieto nastavenia "Rozšírené zdieľanie" na karte Zdieľanie.

    Ak kliknete na tlačidlo Rozšírené zdieľanie, ktoré vyžaduje poverenia miestneho správcu, môžete nakonfigurovať všetky nastavenia, ktoré ste oboznámili s predchádzajúcimi verziami systému Windows.

    Ak kliknete na tlačidlo povolenia, zobrazí sa vám 3 nastavenia, ktoré všetci poznáme.

      • prečítať povolenie vám umožňuje prezerať a otvárať súbory a podadresáre, ako aj vykonávať aplikácie. Nepovoľuje však žiadne zmeny.
      • pozmeniť povolenie vám umožňuje urobiť čokoľvek prečítať povolenie umožňuje, a tiež pridať možnosť pridať súbory a podadresáre, odstrániť podpriečinky a zmeniť dáta v súboroch.
      • Úplné ovládanie je "robiť čokoľvek" z klasických oprávnení, pretože umožňuje vykonávať všetky a všetky predchádzajúce povolenia. Okrem toho vám poskytuje rozšírené zmeny oprávnenia NTFS, ale platí len pre priečinky NTFS

    Povolenia NTFS

    Povolenia systému NTFS umožňujú veľmi zrozumiteľnú kontrolu nad vašimi súbormi a priečinkami. S tým, že množstvo granularity môže byť nováčikom skľučujúcim. Môžete tiež nastaviť povolenie systému NTFS na základe súboru, ako aj podľa jednotlivých priečinkov. Ak chcete nastaviť oprávnenie NTFS na súbor, mali by ste kliknúť pravým tlačidlom a prejsť na vlastnosti súboru a potom prejsť na kartu zabezpečenia.

    Ak chcete upraviť oprávnenia systému NTFS pre používateľov alebo skupinu, kliknite na tlačidlo Upraviť.

    Ako môžete vidieť, existuje dostatok oprávnení systému NTFS, takže ich rozdelíme. Najprv sa pozrieme na oprávnenia systému NTFS, ktoré môžete nastaviť v súbore.

    • Úplné ovládanie umožňuje čítať, písať, upravovať, vykonávať, meniť atribúty, povolenia a prevzatie vlastníctva súboru.
    • pozmeniť umožňuje čítať, písať, upravovať, vykonávať a meniť atribúty súboru.
    • Čítať a spúšťať vám umožní zobraziť údaje súboru, atribúty, vlastníka a povolenia a spustiť súbor, ak je to program.
    • prečítať vám umožní otvoriť súbor, zobraziť jeho atribúty, vlastníka a povolenia.
    • zapísať vám umožní zapísať dáta do súboru, pridať do súboru a prečítať alebo zmeniť jeho atribúty.

    Povolenia pre priečinky systému NTFS majú mierne odlišné možnosti, takže ich môžete pozrieť.

    • Úplné ovládanie vám umožní čítať, písať, upravovať a vykonávať súbory v priečinku, meniť atribúty, oprávnenia a prevzatie vlastníctva priečinka alebo súborov v rámci.
    • pozmeniť vám umožní čítať, písať, upravovať a vykonávať súbory v priečinku a meniť atribúty priečinka alebo súborov v rámci.
    • Čítať a spúšťať vám umožní zobraziť obsah priečinka a zobraziť údaje, atribúty, vlastníka a povolenia pre súbory v priečinku a spustiť súbory v priečinku.
    • Zoznam obsahov priečinkov vám umožní zobraziť obsah priečinka a zobraziť údaje, atribúty, vlastníka a povolenia pre súbory v priečinku a spustiť súbory v priečinku
    • prečítať vám umožní zobraziť údaje súboru, atribúty, vlastníka a povolenia.
    • zapísať vám umožní zapísať dáta do súboru, pridať do súboru a prečítať alebo zmeniť jeho atribúty.

    zhrnutie

    Súhrnne sú názvy používateľov a skupiny reprezentácie alfanumerického reťazca s názvom SID (Security Identifier). Zdieľanie a oprávnenia NTFS sú viazané na tieto SID. Povolenia na zdieľanie sú kontrolované prostredníctvom protokolu LSSAS iba vtedy, keď sú prístupné cez sieť, zatiaľ čo oprávnenia systému NTFS sú kombinované s oprávneniami na zdieľanie, ktoré umožňujú lepšiu úroveň zabezpečenia prístupu k zdrojom v sieti aj lokálne.

    Prístup k zdieľanému prostriedku

    Takže teraz, keď sme sa dozvedeli o dvoch metódach, ktoré môžeme použiť na zdieľanie obsahu na našich počítačoch, ako naozaj ide o prístup k nim cez sieť? Je to veľmi jednoduché. Do navigačného panela zadajte nasledujúce.

    \\ computername \ sharename

    Poznámka: Zrejme budete musieť nahradiť názov počítača pre názov počítača, ktorý hosťuje zdieľanie a názov zdieľaného názvu, pre názov podielu.

    Je to skvelé na jednorazové pripojenie, ale čo vo väčšom podnikovom prostredí? Určite nemusíte učiť svojich používateľov, ako sa pripojiť k sieťovému zdroju pomocou tejto metódy. Ak to chcete dosiahnuť, budete chcieť mapovať sieťovú jednotku pre každého používateľa, týmto spôsobom môžete poradiť, aby uložili svoje dokumenty na jednotke "H", a nie pokúšať sa vysvetliť, ako sa pripojiť k zdieľaniu. Ak chcete mapovať jednotku, otvorte počítač a kliknite na tlačidlo "Mapová sieťová jednotka".

    Potom jednoducho zadajte cestu UNC zdieľania.

    Vaša pravdepodobne premýšľala, či to musíte urobiť na každom počítači, a našťastie odpoveď nie je. Môžete skôr napísať dávkový skript, pomocou ktorého automaticky mapujete jednotky používateľom pri prihlásení a nasadíte ich pomocou Zásady skupiny.

    Ak príkaz rozčisme:

    • Používame čisté použitie príkaz mapovať jednotku.
    • Používame * aby sme označili, že chceme použiť ďalšie písmeno jednotky.
    • Nakoniec sme zadajte podiel chceme namapovať disk. Všimnite si, že sme použili úvodzovky, pretože cesta UNC obsahuje medzery.

    Šifrovanie súborov pomocou šifrovaného súborového systému

    Systém Windows obsahuje možnosť šifrovania súborov v zväzku NTFS. To znamená, že iba vy budete môcť dešifrovať súbory a zobraziť ich. Ak chcete zašifrovať súbor, jednoducho kliknite naň pravým tlačidlom myši a vyberte vlastnosti z kontextového menu.

    Potom kliknite na pokročilé.

    Teraz začiarknite políčko Šifrovať obsah na zabezpečené dáta a potom kliknite na tlačidlo OK.

    Teraz pokračujte a použite nastavenia.

    Stačí súbor zašifrovať, ale máte možnosť šifrovať aj nadradenú zložku.

    Berte na vedomie, že akonáhle je súbor zašifrovaný, zmení sa na zelenú.

    Teraz si všimnete, že iba vy môžete otvoriť súbor a že ostatní užívatelia na tom istom počítači nebudú môcť. Proces šifrovania používa šifrovanie verejným kľúčom, takže nechajte šifrovacie kľúče v bezpečí. Ak ich stratíte, váš súbor je preč a nie je možné ho obnoviť.

    Domáca úloha

    • Získajte informácie o dedičstve a účinných povoleniach.
    • Prečítajte si tento dokument spoločnosti Microsoft.
    • Zistite, prečo by ste chceli použiť BranchCache.
    • Zistite, ako zdieľať tlačiarne a prečo by ste chceli.
    Geek School Učenie systému Windows 7 - Windows Firewall
    Geek School Učenie systému Windows 7 - Bezdrôtové siete
    Geek School Učenie systému Windows 7 - vzdialený prístup
    Ďalší článok
    Geek School Učenie systému Windows 7 - inovácie a migrácie
    Predchádzajúci článok
    Geek School Učenie systému Windows 7 - Vzdialená správa