Geek School: Learning Windows 7 - Resource Access

Mar 21, 2026
Soukromí a bezpečnost
NEBEZPEČNÝ OBSAH

V této instalaci Geek School se podíváme na virtualizaci složek, SID a oprávnění a také na systém souborů šifrování.

Nezapomeňte se podívat na předchozí články v této sérii Geek School pro Windows 7:

  • Představujeme How-To Geek School
  • Upgrady a migrace
  • Konfigurace zařízení
  • Správa disků
  • Správa aplikací
  • Správa aplikace Internet Explorer
  • Základy adresování IP
  • Síťování
  • Bezdrátové sítě
  • Brána firewall systému Windows
  • Vzdálená správa
  • Vzdálený přístup
  • Monitorování, výkon a udržování systému Windows v aktuálním stavu

A zůstaňte naladěni na zbytek série celý tento týden.

Virtualizace složek

Windows 7 představil pojem knihoven, který vám umožnil mít centralizované umístění, ze kterého byste mohli prohlížet zdroje umístěné jinde ve vašem počítači. Funkce knihoven vám konkrétně umožnila přidávat složky z libovolného místa v počítači do jedné ze čtyř výchozích knihoven, Dokumenty, Hudba, Videa a Obrázky, které jsou snadno dostupné z navigačního podokna Průzkumníka Windows.

O funkci knihovny je třeba si uvědomit dvě důležité věci:

  • Když přidáte složku do knihovny, samotná složka se nepohybuje, spíše se vytvoří odkaz na umístění složky.
  • Aby bylo možné přidat síťovou sdílenou složku do vašich knihoven, musí být k dispozici offline, i když můžete také obejít použití symbolických odkazů.

Chcete-li přidat složku do knihovny, jednoduše přejděte do knihovny a klikněte na odkaz umístění.

Poté klikněte na tlačítko Přidat.

Nyní vyhledejte složku, kterou chcete zahrnout do knihovny, a klikněte na tlačítko Zahrnout složku.

To je vše.

Identifikátor zabezpečení

Operační systém Windows používá SID k vyjádření všech principů zabezpečení. SID jsou pouze řetězce proměnné délky alfanumerických znaků, které představují stroje, uživatele a skupiny. SID se přidávají do ACL (Access Control Lists) pokaždé, když udělíte uživateli nebo skupině oprávnění k souboru nebo složce. V zákulisí se SID ukládají stejným způsobem jako všechny ostatní datové objekty: v binárním formátu. Když však uvidíte SID ve Windows, zobrazí se pomocí čitelnější syntaxe. Nestává se často, že ve Windows uvidíte jakoukoli formu SID; Nejběžnějším scénářem je situace, kdy někomu udělíte oprávnění ke zdroji a poté odstraníte jeho uživatelský účet. SID se poté zobrazí v seznamu ACL. Pojďme se tedy podívat na typický formát, ve kterém uvidíte SID ve Windows.

Zápis, který uvidíte, vyžaduje určitou syntaxi. Níže jsou uvedeny různé části SID.

  • Předpona „S“
  • Číslo revize struktury
  • Hodnota autority 48bitového identifikátoru
  • Variabilní počet 32bitových hodnot sub-autorit nebo relativních identifikátorů (RID)

Pomocí mého SID na obrázku níže rozdělíme jednotlivé sekce, abychom lépe porozuměli.

Struktura SID:

‘S’ - První složka SID je vždy „S“. Toto má předponu pro všechny SID a slouží k informování systému Windows, že následující je SID.
’1′ - Druhou součástí SID je číslo revize specifikace SID. Pokud by se specifikace SID měla změnit, poskytlo by to zpětnou kompatibilitu. Od Windows 7 a Server 2008 R2 je specifikace SID stále v první revizi.
’5′ - Třetí část SID se nazývá Identifikační autorita. To definuje, v jakém rozsahu byl vygenerován SID. Možné hodnoty pro tuto část SID mohou být:

  • 0 - Nulová autorita
  • 1 - Světová autorita
  • 2 - Místní úřad
  • 3 - Autorita autorů
  • 4 - Nejedinečná autorita
  • 5 - Oprávnění NT

’21′ - Čtvrtou složkou je podřízený orgán 1. Hodnota „21“ se používá ve čtvrtém poli k určení, že následující podřízené orgány identifikují místní počítač nebo doménu.
’1206375286-251249764-2214032401′ - Tito se nazývají dílčí autority 2,3 a 4. V našem příkladu se to používá k identifikaci místního počítače, ale může to být také identifikátor pro doménu.
’1000′ - Sub-autorita 5 je poslední složkou v našem SID a nazývá se RID (relativní identifikátor). RID je relativní ke každému principu zabezpečení: mějte na paměti, že všechny uživatelem definované objekty, ty, které nejsou dodávány společností Microsoft, budou mít RID 1 000 nebo vyšší.

Zásady zabezpečení

Princip zabezpečení je cokoli, k čemu je připojen SID. Mohou to být uživatelé, počítače a dokonce i skupiny. Zásady zabezpečení mohou být místní nebo v kontextu domény. Zásady místního zabezpečení spravujete pomocí modulu snap-in Místní uživatelé a skupiny v části Správa počítače. Chcete-li se tam dostat, klikněte pravým tlačítkem na zástupce počítače v nabídce Start a vyberte Spravovat.

Chcete-li přidat nový princip zabezpečení uživatele, můžete přejít do složky Uživatelé a kliknout pravým tlačítkem a vybrat Nový uživatel.

Pokud na uživatele dvakrát kliknete, můžete je přidat do skupiny zabezpečení na kartě Člen.

Chcete-li vytvořit novou skupinu zabezpečení, přejděte do složky Skupiny na pravé straně. Klikněte pravým tlačítkem na prázdné místo a vyberte Nová skupina.

Sdílet oprávnění a oprávnění NTFS

Ve Windows existují dva typy oprávnění souborů a složek. Nejprve existují oprávnění ke sdílení. Zadruhé existují oprávnění NTFS, která se také nazývají oprávnění zabezpečení. Zabezpečení sdílených složek se obvykle provádí kombinací oprávnění ke sdílení a NTFS. Jelikož se jedná o tento případ, je třeba si uvědomit, že vždy platí nejpřísnější povolení. Pokud například oprávnění ke sdílení dává principu zabezpečení zabezpečení Everyone oprávnění, ale oprávnění NTFS umožňuje uživatelům provést změnu souboru, oprávnění ke sdílení bude mít přednost a uživatelé nebudou moci provádět změny. Když nastavíte oprávnění, LSASS (Local Security Authority) řídí přístup k prostředku. Když se přihlásíte, obdržíte přístupový token s vaším SID. Když přejdete na přístup k prostředku, LSASS porovná SID, který jste přidali do seznamu ACL (Access Control List). Pokud je SID na ACL, určuje, zda povolit nebo zakázat přístup. Bez ohledu na to, jaká oprávnění používáte, existují rozdíly, takže se pojďme podívat, abychom lépe porozuměli, kdy bychom co měli použít.

Sdílet oprávnění:

  • Platí pouze pro uživatele, kteří k prostředku přistupují přes síť. Neplatí, pokud se přihlašujete místně, například prostřednictvím terminálových služeb.
  • Platí pro všechny soubory a složky ve sdíleném prostředku. Pokud chcete poskytnout podrobnější druh schématu omezení, měli byste kromě sdílených oprávnění použít oprávnění NTFS
  • Pokud máte nějaké svazky naformátované na FAT nebo FAT32, bude to jediná dostupná forma omezení, protože v těchto souborových systémech nejsou k dispozici oprávnění NTFS.

Oprávnění NTFS:

  • Jediným omezením oprávnění NTFS je, že je lze nastavit pouze na svazku naformátovaném do systému souborů NTFS
  • Pamatujte, že oprávnění NTFS jsou kumulativní. To znamená, že efektivní oprávnění uživatele jsou výsledkem kombinace přiřazených oprávnění uživatele a oprávnění všech skupin, do kterých uživatel patří.

Nová oprávnění ke sdílení

Windows 7 koupil novou „snadnou“ techniku ​​sdílení. Možnosti se změnily z Číst, Změnit a Plná kontrola na Číst a Číst / Zápis. Tato myšlenka byla součástí celé mentality Homegroup a usnadňuje sdílení složky pro lidi, kteří nejsou počítačově gramotní. To se děje prostřednictvím kontextové nabídky a snadno se sdílí s domácí skupinou.

Pokud jste chtěli sdílet s někým, kdo není v domácí skupině, můžete si vždy vybrat možnost „Konkrétní lidé…“. Což by vedlo k „komplikovanějšímu“ dialogu, kde byste mohli určit uživatele nebo skupinu.

Jak již bylo zmíněno, existují pouze dvě oprávnění. Společně nabízejí schéma ochrany vašich složek a souborů úplně nebo vůbec.

  1. Číst povolení je možnost „dívat se, nedotýkat se“. Příjemci mohou soubor otevřít, nikoli jej však upravovat ani mazat.
  2. Číst psát je možnost „dělat cokoli“. Příjemci mohou soubor otevřít, upravit nebo odstranit.

Povolení Old School

Starý dialog sdílení měl více možností, například možnost sdílet složku pod jiným aliasem. Umožnilo nám to omezit počet současných připojení a nakonfigurovat ukládání do mezipaměti. Žádná z těchto funkcí není ve Windows 7 ztracena, ale je skryta pod možností nazvanou „Pokročilé sdílení“. Pokud na složku kliknete pravým tlačítkem a přejdete na její vlastnosti, najdete tato nastavení „Pokročilého sdílení“ na kartě sdílení.

Pokud kliknete na tlačítko „Pokročilé sdílení“, které vyžaduje přihlašovací údaje místního správce, můžete nakonfigurovat všechna nastavení, která jste znali v předchozích verzích systému Windows.

Pokud kliknete na tlačítko oprávnění, zobrazí se 3 nastavení, která všichni známe.

    • Číst oprávnění vám umožňuje prohlížet a otevírat soubory a podadresáře i spouštět aplikace. Neumožňuje však provádět žádné změny.
    • Upravit povolení vám umožňuje dělat cokoli Číst povolení umožňuje a také přidává schopnost přidávat soubory a podadresáře, mazat podsložky a měnit data v souborech.
    • Plná kontrola je „dělat cokoli“ z klasických oprávnění, protože vám umožňuje provádět všechna a všechna předchozí oprávnění. Kromě toho vám poskytuje pokročilé měnící se oprávnění NTFS, ale to platí pouze pro složky NTFS

Oprávnění NTFS

Oprávnění NTFS umožňují velmi podrobnou kontrolu nad vašimi soubory a složkami. S tím se dá říci, že granularita může být pro nováčka skličující. Můžete také nastavit oprávnění NTFS na základě jednotlivých souborů i složek. Chcete-li nastavit oprávnění NTFS na soubor, měli byste kliknout pravým tlačítkem, přejít na vlastnosti souboru a poté přejít na kartu zabezpečení.

Chcete-li upravit oprávnění NTFS pro uživatele nebo skupinu, klikněte na tlačítko Upravit.

Jak možná vidíte, oprávnění NTFS je poměrně dost, pojďme si je tedy rozdělit. Nejprve se podíváme na oprávnění NTFS, která můžete nastavit pro soubor.

  • Plná kontrola umožňuje číst, zapisovat, upravovat, spouštět, měnit atributy, oprávnění a převzít vlastnictví souboru.
  • Upravit umožňuje číst, zapisovat, upravovat, spouštět a měnit atributy souboru.
  • Číst a spouštět vám umožní zobrazit data, atributy, vlastníka a oprávnění souboru a spustit soubor, pokud se jedná o program.
  • Číst vám umožní otevřít soubor, zobrazit jeho atributy, vlastníka a oprávnění.
  • Psát si vám umožní zapisovat data do souboru, připojit se k souboru a číst nebo měnit jeho atributy.

Oprávnění NTFS pro složky mají mírně odlišné možnosti, takže se na ně podívejme.

  • Plná kontrola vám umožní číst, zapisovat, upravovat a spouštět soubory ve složce, měnit atributy, oprávnění a převzít vlastnictví složky nebo souborů uvnitř.
  • Upravit vám umožní číst, zapisovat, upravovat a spouštět soubory ve složce a měnit atributy složky nebo souborů uvnitř.
  • Číst a spouštět vám umožní zobrazit obsah složky a zobrazit data, atributy, vlastníka a oprávnění pro soubory ve složce a spouštět soubory ve složce.
  • Seznam obsahu složky vám umožní zobrazit obsah složky a zobrazit data, atributy, vlastníka a oprávnění pro soubory ve složce a spouštět soubory ve složce
  • Číst vám umožní zobrazit data, atributy, vlastníka a oprávnění souboru.
  • Psát si vám umožní zapisovat data do souboru, připojit se k souboru a číst nebo měnit jeho atributy.

souhrn

Stručně řečeno, uživatelská jména a skupiny jsou reprezentacemi alfanumerického řetězce nazývaného SID (Security Identifier). Oprávnění ke sdílení a NTFS jsou vázána na tyto SID. Oprávnění ke sdílení kontroluje služba LSSAS pouze při přístupu přes síť, zatímco oprávnění NTFS jsou kombinována s oprávněními ke sdílení, což umožňuje podrobnější úroveň zabezpečení pro prostředky, ke kterým se přistupuje přes síť i místně.

Přístup ke sdílenému prostředku

Takže teď, když jsme se dozvěděli o dvou metodách, které můžeme použít ke sdílení obsahu na našich počítačích, jak vlastně přistupujete k němu přes síť? Je to velmi jednoduché. Na navigační liště zadejte následující.

\\ computername \ sharename

Poznámka: Je zřejmé, že název počítače, který sdílí sdílenou složku, budete muset nahradit názvem počítače a jménem sdílené složky název sdílené složky.

To je skvělé pro jednorázová připojení, ale co ve větším podnikovém prostředí? Určitě nemusíte učit své uživatele, jak se pomocí této metody připojit k síťovému prostředku. Chcete-li to obejít, budete chtít namapovat síťovou jednotku pro každého uživatele. Tímto způsobem mu můžete doporučit, aby ukládal své dokumenty na jednotku „H“, místo aby se snažil vysvětlit, jak se připojit ke sdílené položce. Chcete-li namapovat jednotku, otevřete Počítač a klikněte na tlačítko „Mapovat síťovou jednotku“.

Pak jednoduše zadejte cestu UNC sdílené položky.

Pravděpodobně vás zajímá, jestli to musíte udělat na každém PC, a naštěstí odpověď zní ne. Spíše můžete napsat dávkový skript, který automaticky namapuje jednotky pro vaše uživatele při přihlášení a nasadí je pomocí zásad skupiny.

Pokud rozložíme příkaz:

  • Používáme čisté použití příkaz k namapování jednotky.
  • Používáme * k označení, že chceme použít další dostupné písmeno jednotky.
  • Nakonec jsme uveďte podíl chceme namapovat jednotku na. Všimněte si, že jsme použili uvozovky, protože cesta UNC obsahuje mezery.

Šifrování souborů pomocí systému šifrování souborů

Systém Windows zahrnuje možnost šifrování souborů na svazku NTFS. To znamená, že pouze vy budete moci dešifrovat soubory a zobrazit je. Chcete-li soubor zašifrovat, jednoduše na něj klikněte pravým tlačítkem a v místní nabídce vyberte vlastnosti.

Poté klikněte na pokročilý.

Nyní zaškrtněte políčko Zašifrovat obsah k zabezpečení dat a klikněte na OK.

Nyní pokračujte a použijte nastavení.

Potřebujeme pouze zašifrovat soubor, ale máte možnost zašifrovat také nadřazenou složku.

Vezměte na vědomí, že jakmile je soubor zašifrován, zezelená.

Nyní si všimnete, že pouze vy budete moci otevřít soubor a že ostatní uživatelé ve stejném počítači nebudou moci. Proces šifrování používá šifrování veřejného klíče , takže udržujte své šifrovací klíče v bezpečí. Pokud je ztratíte, váš soubor je pryč a neexistuje způsob, jak jej obnovit.

Domácí práce

  • Zjistěte více o dědičnosti oprávnění a účinných oprávněních.
  • Číst tento Dokument společnosti Microsoft.
  • Zjistěte, proč byste chtěli používat BranchCache.
  • Naučte se, jak sdílet tiskárny a proč byste chtěli.
.vstupní obsah .vstup do zápatí

Windows 8 FIRST GEEK.

Exploring The Geeky Side Of Windows 7 - Math Input Panel

Soukromí a bezpečnost - Nejoblíbenější články

Jak spravovat všechna uložená hesla vašeho počítače Mac s přístupem ke klíčenkám

Soukromí a bezpečnost Nov 8, 2025

Váš Mac ukládá všechny druhy hesel. Ukládá hesla pro vaše sítě Wi-Fi, hesla používaná vašimi aplikacemi a dokonce i hesla uložená v Safari. Možná by vás zajímalo..

Co dělat s nevyužitými pozicemi optické jednotky vašeho počítače

Soukromí a bezpečnost Apr 13, 2025

NEBEZPEČNÝ OBSAH Většina počítačů - ať už si je koupíte nebo postavíte - má alespoň jednu nevyužitou pozici pro disk. Proč je nevyužít? Navzdory tomu, �..

Jak zakázat panel pro čtení v Outlooku na Windows a Mac

Soukromí a bezpečnost Feb 28, 2026

Ve výchozím nastavení se při výběru e-mailové zprávy v Outlooku automaticky otevře v podokně pro čtení vpravo. I když na e-mail ve skutečnosti nekliknete, první e-mai..

Co jsou data EXIF ​​a jak je mohu odstranit z mých fotografií?

Soukromí a bezpečnost Jul 10, 2025

Data EXIF ​​fotografie obsahují spoustu informací o vašem fotoaparátu a potenciálně o tom, kde byl snímek pořízen (souřadnice GPS). To znamená, že pokud sdílíte ob..

Jak získat zpět místní přihlášení ve Windows 8

Soukromí a bezpečnost Oct 17, 2025

NEBEZPEČNÝ OBSAH Ve výchozím nastavení vás nová instalace systému Windows 8 vyzve k vytvoření synchronizovaného cloudového přihlášení. I když existují určité vý..

Získávají viry platformy jiné než Windows, jako jsou Mac, Android, iOS a Linux?

Soukromí a bezpečnost Sep 22, 2025

NEBEZPEČNÝ OBSAH Viry a další typy malwaru se v reálném světě zdají z velké části omezeny na Windows. I v počítači se systémem Windows 8 se stále můžete nakazit..

Co představují různé typy LAN IP adres?

Soukromí a bezpečnost Mar 3, 2026

Když se začnete učit o IP adresách, může to být zpočátku trochu matoucí, pokud jde o to, abyste věděli, co konkrétní adresy představují a proč tak činí. S ohledem..

Jak povolit přístupový bod pro hosty ve vaší bezdrátové síti

Soukromí a bezpečnost Jul 12, 2025

Sdílení vaší Wi-Fi s hosty je jen zdvořilá věc, ale to neznamená, že jim chcete poskytnout široce otevřený přístup k celé vaší LAN. Přečtěte si, jak vám ukáže..

Kategorie