Så här förstår du de förvirrade Windows 7 fil- / delbehörigheterna

Har du någonsin försökt räkna ut alla behörigheter i Windows? Det finns delbehörigheter, NTFS-behörigheter, åtkomstkontrolllistor och mer. Så här fungerar de tillsammans.

Säkerhetsidentifieraren

Windows operativsystem använder SID för att representera alla säkerhetsprinciper. SID: er är bara strängar med variabel längd med alfanumeriska tecken som representerar maskiner, användare och grupper. SID läggs till ACL (Access Control Lists) varje gång du beviljar en användare eller gruppbehörighet till en fil eller mapp. Bakom scenen lagras SID: er på samma sätt som alla andra dataobjekt, i binära. Men när du ser ett SID i Windows visas det med en mer läsbar syntax. Det är inte ofta att du ser någon form av SID i Windows, det vanligaste scenariot är när du beviljar någon behörighet till en resurs, då tas användarkontot bort, det visas sedan som ett SID i ACL. Så kan vi titta på det typiska formatet där du kommer att se SID i Windows.

Notationen som du ser kommer att ha en viss syntax, nedan är de olika delarna av ett SID i denna notation.

1. Ett "S" prefix
2. Strukturrevisionsnummer
3. Ett 48-bitars identifieringsmyndighetsvärde
4. Ett variabelt antal 32-bitars sub-authority eller relative identifierings (RID) -värden

Genom att använda mitt SID i bilden nedan kommer vi att bryta upp de olika sektionerna för att få en bättre förståelse.

SID-strukturen:

'S' - Den första komponenten i ett SID är alltid en "S". Detta är prefixed till alla SIDs och är där för att informera Windows att det som följer är ett SID.
'1' - Den andra komponenten i ett SID är revisionsnumret för SID-specifikationen, om SID-specifikationen skulle ändras skulle den tillhandahålla bakåtkompatibilitet. I Windows 7 och Server 2008 R2 finns SID-specifikationen fortfarande i den första versionen.
'5' - Den tredje delen av ett SID kallas Identifier Authority. Detta definierar i vilken omfattning SID genererades. Möjliga värden för dessa delar av SID kan vara:

1. 0 - Null Authority
2. 1 - Världsmyndigheten
3. 2 - Lokal myndighet
4. 3 - Skapande myndighet
5. 4 - Icke-unik myndighet
6. 5 - NT Authority

'21' - Den föregående komponenten är undermyndighet 1, värdet "21" används i det föregående fältet för att ange att de undermyndigheter som följer identifierar den lokala maskinen eller domänen.
'1206375286-251249764-2214032401' - Dessa kallas sub-authority 2,3 respektive 4. I vårt exempel används det för att identifiera den lokala maskinen, men kan också vara identifieraren för en domän.
'1000' - Delmyndighet 5 är den sista komponenten i vårt SID och kallas RID (Relativ Identifier), RID är i förhållande till varje säkerhetsprincip. Observera att alla användardefinierade objekt, de som inte skickas av Microsoft kommer att ha en RID av 1000 eller högre.

Säkerhetsprinciper

En säkerhetsprincip är något som har en SID kopplad till den, det kan vara användare, datorer och jämn grupp. Säkerhetsprinciper kan vara lokala eller vara i domänens sammanhang. Du hanterar lokala säkerhetsprinciper genom snapin-modulen Local Users and Groups, under datorhantering. För att komma dit högerklicka på datorns genväg i startmenyn och välj hantera.

För att lägga till en ny användarsäkerhetsprincip kan du gå till användarmappen och högerklicka och välja ny användare.

Om du dubbelklickar på en användare kan du lägga till dem i en säkerhetsgrupp på fliken Medlem i.

För att skapa en ny säkerhetsgrupp, navigera till mappen Grupper på höger sida. Högerklicka på det vita utrymmet och välj ny grupp.

Dela behörigheter och NTFS-tillstånd

I Windows finns det två typer av fil- och mappbehörigheter, för det första finns det delbehörigheter och för det andra finns det NTFS-behörigheter även kallade säkerhetsbehörigheter. Observera att när du delar en mapp som standard ges "Alla" gruppen läsbehörigheten. Säkerhet på mappar görs vanligtvis med en kombination av Share och NTFS-tillstånd om det är så viktigt att komma ihåg att den mest restriktiva alltid gäller, till exempel om delbehörigheten är inställd på Alla = Läs (som är standard) men NTFS-tillståndet tillåter användare att ändra på filen, kommer delbehörigheten att föredra och användarna får inte göra ändringar. När du anger behörigheterna kontrollerar LSASS (Local Security Authority) åtkomst till resursen. När du loggar in får du en åtkomsttoken med ditt SID på den, när du går till resursen jämför LSASS det SID som du lade till i ACL (Access Control List) och om SID är på ACL bestämmer det om tillåta eller neka åtkomst. Oavsett vilka behörigheter du använder finns skillnader så vi kan ta en titt för att få en bättre förståelse när vi ska använda vad.

Dela behörigheter:

1. Gäller bara för användare som har tillgång till resursen över nätverket. De gäller inte om du loggar in lokalt, till exempel via terminaltjänster.
2. Det gäller alla filer och mappar i den delade resursen. Om du vill tillhandahålla en mer granulär typ av restriktioner bör du använda NTFS-behörighet utöver delade behörigheter
3. Om du har några FAT- eller FAT32-formaterade volymer är det den enda begränsningsformen som finns tillgänglig, eftersom NTFS-behörigheter inte är tillgängliga på filsystemen.

NTFS-behörigheter:

1. Den enda begränsningen för NTFS-tillstånd är att de bara kan ställas in på en volym som är formaterad till NTFS-filsystemet
2. Kom ihåg att NTFS är kumulativa vilket innebär att användarnas effektiva behörigheter är resultatet av att kombinera användarens tilldelade behörigheter och behörigheterna för grupper som användaren tillhör.

Nya delbehörigheter

Windows 7 köpte tillsammans med en ny "lätt" delteknik. Alternativen ändrades från Läs, Ändra och Full kontroll till. Läs och läs / skriv. Tanken var en del av hela gruppens mentalitet och gör det enkelt att dela en mapp för icke-datorlitterat folk. Detta görs via snabbmenyn och delar enkelt med din hemgrupp.

Om du vill dela med någon som inte är hemmahörande kan du alltid välja alternativet "Specifikt folk". Vilket skulle ge en mer "utarbetad" dialog. Där kan du ange en specifik användare eller grupp.

Det finns bara två tillstånd som tidigare nämnts, tillsammans erbjuder de ett helt eller inget skyddsschema för dina mappar och filer.

1. Läsa tillstånd är "look, touch inte" alternativet. Mottagare kan öppna, men inte ändra eller ta bort en fil.
2. Läsa skriva är alternativet "gör någonting". Mottagare kan öppna, ändra eller ta bort en fil.

Old School Way

Den gamla delningsdialogren hade fler alternativ och gav oss möjlighet att dela mappen under ett annat alias, det gjorde att vi kunde begränsa antalet samtidiga anslutningar samt konfigurera cachning. Ingen av denna funktionalitet går förlorad i Windows 7 men är dolt under ett alternativ som heter "Advanced Sharing". Om du högerklickar på en mapp och går till dess egenskaper kan du hitta dessa "Advanced Sharing" -inställningar under fliken Dela.

Om du klickar på knappen "Advanced Sharing", som kräver lokala administratörsuppgifter, kan du konfigurera alla inställningar som du kände till i tidigare versioner av Windows.

Om du klickar på behörighetsknappen presenteras de 3 inställningarna som vi alla är bekanta med.

1. Läsa tillstånd tillåter dig att visa och öppna filer och underkataloger samt utföra program. Men det tillåter inte några ändringar.
2. Ändra tillstånd tillåter dig att göra någonting det Läsa tillstånd tillåter det också lägga till möjligheten att lägga till filer och underkataloger, ta bort undermappar och ändra data i filerna.
3. Full kontroll är "gör någonting" av de klassiska behörigheterna, eftersom det tillåter dig att göra något och alla tidigare behörigheter. Dessutom ger den dig den avancerade ändringen av NTFS-tillståndet, detta gäller bara för NTFS-mappar

NTFS-behörigheter

NTFS-tillstånd tillåter mycket granulär kontroll över dina filer och mappar. Med det sagt kan mängden granularitet vara skrämmande för en nykomling. Du kan också ställa in NTFS-behörighet per fil och per mappbasis. För att ställa in NTFS-behörighet på en fil borde du högerklicka och gå till filegenskaperna där du måste gå till fliken säkerhet.

Om du vill redigera NTFS-behörigheterna för en användare eller grupp klickar du på redigeringsknappen.

Som du kan se finns det ganska många NTFS-tillstånd, så att vi kan bryta ner dem. Först kommer vi att titta på de NTFS-behörigheter som du kan ställa in på en fil.

1. Full kontroll låter dig läsa, skriva, ändra, exekvera, ändra attribut, behörigheter och ta äganderätten till filen.
2. Ändra låter dig läsa, skriva, ändra, exekvera och ändra filens attribut.
3. Läs och kör låter dig visa filens data, attribut, ägare och behörigheter och köra filen om det är ett program.
4. Läsa låter dig öppna filen, visa dess attribut, ägare och behörigheter.
5. Skriva låter dig skriva data till filen, bifoga filen och läsa eller ändra dess attribut.

NTFS-behörigheter för mappar har lite olika alternativ så vi kan titta på dem.

1. Full kontroll låter dig läsa, skriva, ändra och exekvera filer i mappen, ändra attribut, behörigheter och ta äganderätten till mappen eller filerna inom.
2. Ändra låter dig läsa, skriva, ändra och exekvera filer i mappen och ändra attribut av mappen eller filerna inom.
3. Läs och kör låter dig visa mappens innehåll och visa data, attribut, ägare och behörigheter för filer i mappen och köra filer i mappen.
4. Lista mappinnehåll låter dig visa mappens innehåll och visa data, attribut, ägare och behörigheter för filer i mappen.
5. Läsa kommer att låta dig visa filens data, attribut, ägare och behörigheter.
6. Skriva låter dig skriva data till filen, bifoga filen och läsa eller ändra dess attribut.

I Microsofts dokumentation står det också att "List Folder Contents" låter dig utföra filer i mappen, men det måste du fortfarande aktivera "Read & Execute" för att göra det. Det är ett mycket förvirrande dokumentat tillstånd.

Sammanfattning

Sammanfattningsvis är användarnamn och grupper representationer av en alfanumerisk sträng som heter SID (Säkerhetsidentifierare), Share och NTFS-behörigheter är knutna till dessa SID. Delbehörigheter kontrolleras endast av LSSAS när de öppnas över nätverket, medan NTFS-behörigheter endast gäller på de lokala maskinerna. Jag hoppas att du alla har en bra förståelse för hur fil och mappsäkerhet i Windows 7 implementeras. Om du har några frågor kan du ljuga av i kommentarerna.