Geek School Learning Windows 7 - Resursåtkomst
I denna installation av Geek School tar vi en titt på mapp virtualisering, SID och behörighet, liksom krypteringsfilsystemet.
Var noga med att kolla in de tidigare artiklarna i denna Geek School-serie på Windows 7:
- Introduktion till How-To Geek School
- Uppgraderingar och migreringar
- Konfigurera enheter
- Hantera diskar
- Hantera applikationer
- Hantera Internet Explorer
- IP-adresseringsunderlag
- nätverk
- Trådlöst nätverk
- Windows brandvägg
- Fjärr administration
- Fjärranslutning
- Övervaka, prestanda och hålla Windows upp till datum
Och håll dig uppdaterad för resten av serien hela veckan.
Mapp virtualisering
Windows 7 introducerade begreppet bibliotek som gjorde det möjligt för dig att få en centraliserad plats från vilken du kan se resurser som finns på andra håll på din dator. Mer specifikt gav bibliotekets funktion dig möjlighet att lägga till mappar från var som helst på din dator till en av fyra standardbibliotek, dokument, musik, videor och bilder, som är lättillgängliga från navigationsfönstret i Utforskaren.
Det finns två viktiga saker att notera om bibliotekets funktion:
- När du lägger till en mapp i ett bibliotek rör sig inte själva mappen, utan snarare skapas en länk till mappens plats.
- För att kunna lägga till en nätverksandel till dina bibliotek måste den vara tillgänglig offline, men du kan också använda ett arbete med hjälp av symboliska länkar.
Om du vill lägga till en mapp i ett bibliotek går du enkelt in i biblioteket och klickar på länken.
Klicka sedan på add-knappen.
Hitta nu mappen du vill inkludera i biblioteket och klicka på knappen Inkluder mapp.
Det är allt som finns där.
Säkerhetsidentifieraren
Windows operativsystemet använder SID för att representera alla säkerhetsprinciper. SID: er är bara strängar med variabel längd med alfanumeriska tecken som representerar maskiner, användare och grupper. SID läggs till ACL (Access Control Lists) varje gång du beviljar en användare eller gruppbehörighet till en fil eller mapp. Bakom kulisserna lagras SID-filer på samma sätt som alla andra dataobjekt är: i binära. När du ser en SID i Windows visas den dock med en mer läsbar syntax. Det är inte ofta att du ser någon form av SID i Windows; Det vanligaste scenariot är när du beviljar någon tillstånd till en resurs och sedan radera sitt användarkonto. SID kommer då att visas i ACL. Så kan vi titta på det typiska formatet där du kommer att se SID i Windows.
Notationen som du kommer att se tar en viss syntax. Nedan finns de olika delarna av ett SID.
- Ett "S" prefix
- Strukturrevisionsnummer
- Ett 48-bitars identifieringsmyndighetsvärde
- Ett variabelt antal 32-bitars sub-authority eller relative identifierings (RID) -värden
Genom att använda mitt SID i bilden nedan kommer vi att bryta upp de olika sektionerna för att få en bättre förståelse.
SID-strukturen:
'S' - Den första komponenten i ett SID är alltid en "S". Detta är prefixed till alla SIDs och är där för att informera Windows att det som följer är ett SID.
'1' - Den andra komponenten i ett SID är revisionsnumret för SID-specifikationen. Om SID-specifikationen skulle ändras skulle den tillhandahålla bakåtkompatibilitet. I Windows 7 och Server 2008 R2 finns SID-specifikationen fortfarande i den första versionen.
'5' - Den tredje delen av ett SID kallas Identifier Authority. Detta definierar i vilken omfattning SID genererades. Möjliga värden för dessa delar av SID kan vara:
- 0 - Null Authority
- 1 - Världsmyndigheten
- 2 - Lokal myndighet
- 3 - Skapande myndighet
- 4 - Icke-unik myndighet
- 5 - NT Authority
'21' - Den fjärde komponenten är delmyndighet 1. Värdet "21" används i det fjärde fältet för att ange att de undermyndigheter som följer identifierar den lokala maskinen eller domänen.
'1206375286-251249764-2214032401' - Dessa kallas sub-authority 2,3 respektive 4. I vårt exempel används det för att identifiera den lokala maskinen, men kan också vara identifieraren för en domän.
'1000' - Delmyndighet 5 är den sista komponenten i vårt SID och heter RID (Relativ Identifier). RID är i förhållande till varje säkerhetsprincip: var god notera att alla användardefinierade objekt, de som inte skickas av Microsoft, kommer att ha en RID på 1000 eller högre.
Säkerhetsprinciper
En säkerhetsprincip är något som har ett SID bifogat det. Dessa kan vara användare, datorer och jämn grupp. Säkerhetsprinciper kan vara lokala eller vara i domänens sammanhang. Du hanterar lokala säkerhetsprinciper genom snapin-modulen Local Users and Groups, under datorhantering. För att komma dit högerklickar du på datorns genväg i startmenyn och väljer hantera.
För att lägga till en ny användarsäkerhetsprincip kan du gå till mappen Användare och högerklicka och välja Ny användare.
Om du dubbelklickar på en användare kan du lägga till dem i en säkerhetsgrupp på fliken Medlem i.
För att skapa en ny säkerhetsgrupp, navigera till mappen Grupper på höger sida. Högerklicka på det vita utrymmet och välj Ny grupp.
Dela behörigheter och NTFS-tillstånd
I Windows finns två typer av fil- och mappbehörigheter. För det första finns delbehörigheterna. För det andra finns det NTFS-tillstånd, som också kallas säkerhetsbehörigheter. Säkra delade mappar görs vanligtvis med en kombination av Share och NTFS-behörigheter. Eftersom det är så är det viktigt att komma ihåg att det mest restriktiva tillståndet alltid gäller. Om till exempel delbehörigheten ger All säkerhetsprincipen läs tillstånd, men med NTFS-tillåtelse tillåter användare att ändra filen, har delbehörigheten företräde, och användarna får inte göra ändringar. När du anger behörigheterna kontrollerar LSASS (Local Security Authority) åtkomst till resursen. När du loggar in får du en åtkomsttoken med ditt SID på den. När du går till resursen jämför LSASS det SID som du lade till i ACL (Access Control List). Om SID är på ACL, bestämmer den om du vill tillåta eller neka åtkomst. Oavsett vilka rättigheter du använder, det finns skillnader, så låt oss ta en titt för att få en bättre förståelse för när vi ska använda vad.
Dela behörigheter:
- Gäller bara för användare som har tillgång till resursen över nätverket. De gäller inte om du loggar in lokalt, till exempel via terminaltjänster.
- Det gäller alla filer och mappar i den delade resursen. Om du vill tillhandahålla en mer granulär typ av restriktioner bör du använda NTFS-behörighet utöver delade behörigheter
- Om du har några FAT- eller FAT32-formaterade volymer är det den enda begränsningsformen som finns tillgänglig, eftersom NTFS-behörigheter inte är tillgängliga på filsystemen.
NTFS-behörigheter:
- Den enda begränsningen för NTFS-tillstånd är att de bara kan ställas in på en volym som är formaterad till NTFS-filsystemet
- Kom ihåg att NTFS-behörigheter är kumulativa. Det betyder att en användares effektiva behörigheter är resultatet av att kombinera användarens tilldelade behörigheter och behörigheterna för alla grupper som användaren tillhör.
Nya delbehörigheter
Windows 7 köpte tillsammans med en ny "lätt" delteknik. Alternativen ändrades från Läs, Ändra och Full kontroll till Läs och läs / skriv. Tanken var en del av hela homegroup-mentaliteten och gör det enkelt att dela en mapp för icke-datorlitterat folk. Detta görs via snabbmenyn och delar enkelt med din hemgrupp.
Om du vill dela med någon som inte är hemmahörande kan du alltid välja alternativet "Specifikt folk". Vilket skulle ge en mer "utarbetad" dialog där du kan ange en användare eller en grupp.
Det finns bara två behörigheter, som tidigare nämnts. Tillsammans erbjuder de ett helt eller inget skyddssystem för dina mappar och filer.
- Läsa tillstånd är "look, touch inte" alternativet. Mottagare kan öppna, men inte ändra eller ta bort en fil.
- Läsa skriva är alternativet "gör någonting". Mottagare kan öppna, ändra eller ta bort en fil.
Den gamla skolan Tillstånd
Den gamla delningsdialogen hade fler alternativ, till exempel alternativet att dela mappen under ett annat alias. Det gav oss möjlighet att begränsa antalet samtidiga anslutningar samt konfigurera caching. Ingen av denna funktionalitet går förlorad i Windows 7, utan är dolt under ett alternativ som heter "Advanced Sharing". Om du högerklickar på en mapp och går till dess egenskaper kan du hitta dessa "Advanced Sharing" -inställningar under fliken Dela.
Om du klickar på knappen "Advanced Sharing", som kräver lokala administratörsuppgifter, kan du konfigurera alla inställningar som du kände till i tidigare versioner av Windows.
Om du klickar på behörighetsknappen presenteras de 3 inställningarna som vi alla är bekanta med.
- Läsa tillstånd tillåter dig att visa och öppna filer och underkataloger samt utföra program. Men det tillåter inte några ändringar.
- Ändra tillstånd tillåter dig att göra någonting det Läsa tillstånd tillåter, och det lägger också till möjligheten att lägga till filer och underkataloger, ta bort undermappar och ändra data i filerna.
- Full kontroll är "gör någonting" av de klassiska behörigheterna, eftersom det tillåter dig att göra något och alla tidigare behörigheter. Dessutom ger den dig den avancerade ändringen av NTFS-tillståndet, men detta gäller bara för NTFS-mappar
NTFS-behörigheter
NTFS-behörigheter tillåter mycket granulär kontroll över dina filer och mappar. Med det sagt kan mängden granularitet vara skrämmande för en nykomling. Du kan också ställa in NTFS-behörighet per fil och per mappbasis. Om du vill ställa in NTFS-behörighet på en fil bör du högerklicka och gå till filens egenskaper och gå till fliken Sekretess.
För att redigera NTFS-behörigheterna för en användare eller grupp, klicka på redigeringsknappen.
Som du kan se finns det ganska många NTFS-tillstånd, så låt oss bryta ner dem. Först ska vi titta på de NTFS-behörigheter som du kan ställa in på en fil.
- Full kontroll låter dig läsa, skriva, ändra, exekvera, ändra attribut, behörigheter och ta äganderätten till filen.
- Ändra låter dig läsa, skriva, ändra, exekvera och ändra filens attribut.
- Läs och kör låter dig visa filens data, attribut, ägare och behörigheter och köra filen om det är ett program.
- Läsa låter dig öppna filen, visa dess attribut, ägare och behörigheter.
- Skriva låter dig skriva data till filen, bifoga filen och läsa eller ändra dess attribut.
NTFS-behörigheter för mappar har lite olika alternativ, så vi kan titta på dem.
- Full kontroll låter dig läsa, skriva, ändra och exekvera filer i mappen, ändra attribut, behörigheter och ta äganderätten till mappen eller filerna inom.
- Ändra låter dig läsa, skriva, ändra och exekvera filer i mappen och ändra attribut av mappen eller filerna inom.
- Läs och kör låter dig visa mappens innehåll och visa data, attribut, ägare och behörigheter för filer i mappen och köra filer i mappen.
- Lista mappinnehåll låter dig visa mappens innehåll och visa data, attribut, ägare och behörigheter för filer i mappen och köra filer i mappen
- Läsa kommer att låta dig visa filens data, attribut, ägare och behörigheter.
- Skriva låter dig skriva data till filen, bifoga filen och läsa eller ändra dess attribut.
Sammanfattning
Sammanfattningsvis är användarnamn och grupper representationer av en alfanumerisk sträng som heter SID (Säkerhetsidentifierare). Dela och NTFS-behörigheter är knutna till dessa SID: er. Delbehörigheter kontrolleras endast av LSSAS när de öppnas över nätverket medan NTFS-behörigheter kombineras med delbehörigheter för att möjliggöra en mer granulär säkerhetsnivå för att resurser ska nås över nätverket såväl som lokalt.
Åtkomst till en gemensam resurs
Så nu när vi har lärt oss om de två metoder som vi kan använda för att dela innehåll på våra datorer, hur går det faktiskt om att få tillgång till det via nätverket? Det är väldigt enkelt. Skriv bara följande i navigeringsfältet.
\\ dator \ resursnamn
Obs! Självklart måste du ersätta datornamn för namnet på datorn som är värd för share- och sharename för namnet på andelen.
Det här är bra för en gång av anslutningar, men hur är det i en större företagsmiljö? Visst behöver du inte lära dina användare hur man ansluter till en nätverksresurs med den här metoden. För att komma runt om det här vill du kartlägga en nätverksenhet för varje användare, så att du kan rekommendera dem att lagra sina dokument på H-enheten, istället för att försöka förklara hur man ansluter till en del. För att kartlägga en enhet öppnar du Dator och klickar på knappen "Map Network Drive".
Skriv sedan enkelt in UNC-banan i aktien.
Du undrar nog att du måste göra det på varje dator, och lyckligtvis är svaret nej. Snarare kan du skriva ett batchskript för att automatiskt kartlägga enheterna för dina användare vid inloggning och distribuera det via grupprincip.
Om vi dissekerar kommandot:
- Vi använder nätanvändning kommandot för att kartlägga enheten.
- Vi använder * för att ange att vi vill använda nästa tillgängliga körbrev.
- Slutligen vi Ange aktien vi vill kartlägga enheten till. Observera att vi använde citat eftersom UNC-sökvägen innehåller mellanslag.
Kryptera filer med hjälp av krypteringsfilsystemet
Windows innehåller möjligheten att kryptera filer på en NTFS-volym. Det betyder att du bara kan dekryptera filerna och visa dem. För att kryptera en fil, högerklicka bara på den och välj egenskaper från snabbmenyn.
Klicka sedan på avancerat.
Markera kryssrutan Kryptera innehåll för att säkra data och klicka sedan på OK.
Gå nu och använd inställningarna.
Vi behöver bara kryptera filen, men du har också möjlighet att kryptera den överordnade mappen också.
Observera att när filen är krypterad blir den grön.
Nu kommer du märka att du bara kommer att kunna öppna filen och att andra användare på samma dator inte kommer att kunna. Krypteringsprocessen använder kodning med allmänt nyckel, så behåll krypteringsnycklarna säkra. Om du förlorar dem är din fil borta och det finns inget sätt att återställa det.
Läxa
- Lär dig om tillståndsarv och effektiva behörigheter.
- Läs detta Microsoft-dokument.
- Lär dig varför du vill använda BranchCache.
- Lär dig hur du delar skrivare och varför du skulle vilja.