Geek School: Learning Windows 7 - Resource Access

Mar 21, 2025
Privatliv og sikkerhed
UCACHED INDHOLD

I denne installation af Geek School kigger vi på mappevirtualisering, SID'er og tilladelse samt krypteringsfilsystemet.

Sørg for at tjekke de tidligere artikler i denne Geek School-serie på Windows 7:

  • Introduktion til How-To Geek School
  • Opgraderinger og migrationer
  • Konfiguration af enheder
  • Håndtering af diske
  • Administration af applikationer
  • Administration af Internet Explorer
  • Grundlæggende IP-adressering
  • Netværk
  • Trådløst netværk
  • Windows Firewall
  • Fjernadministration
  • Fjernadgang
  • Overvågning, ydeevne og opdatering af Windows

Og hold øje med resten af ​​serien hele denne uge.

Mappevirtualisering

Windows 7 introducerede forestillingen om biblioteker, der gjorde det muligt for dig at have en central placering, hvorfra du kunne se ressourcer placeret andetsteds på din computer. Mere specifikt tillod biblioteksfunktionen dig at tilføje mapper fra hvor som helst på din computer til et af fire standardbiblioteker, Dokumenter, Musik, Videoer og Billeder, som er let tilgængelige fra navigationsruden i Windows Stifinder.

Der er to vigtige ting at bemærke om biblioteksfunktionen:

  • Når du føjer en mappe til et bibliotek, flyttes selve mappen ikke, men der oprettes snarere et link til mappens placering.
  • For at tilføje en netværksdeling til dine biblioteker skal den være tilgængelig offline, selvom du også kan bruge et arbejde rundt ved hjælp af symbolske links.

For at tilføje en mappe til et bibliotek skal du blot gå ind i biblioteket og klikke på placeringslinket.

Klik derefter på knappen Tilføj.

Find nu den mappe, du vil medtage i biblioteket, og klik på knappen Inkluder mappe.

Det er alt der er ved det.

Sikkerhedsidentifikatoren

Windows-operativsystemet bruger SID'er til at repræsentere alle sikkerhedsprincipper. SID'er er bare strenge med variabel længde med alfanumeriske tegn, der repræsenterer maskiner, brugere og grupper. SID'er føjes til ACL'er (adgangskontrolister) hver gang du giver en bruger eller gruppe tilladelse til en fil eller mappe. Bag kulisserne lagres SID'er på samme måde som alle andre dataobjekter: i binær. Men når du ser et SID i Windows, vises det ved hjælp af en mere læselig syntaks. Det er ikke ofte, du vil se nogen form for SID i Windows; det mest almindelige scenario er, når du giver nogen tilladelse til en ressource og derefter sletter deres brugerkonto. SID vises derefter i ACL. Så lad os se på det typiske format, hvor du vil se SID'er i Windows.

Notationen, som du vil se, tager en bestemt syntaks. Nedenfor er de forskellige dele af et SID.

  • Et 'S' præfiks
  • Strukturrevisionsnummer
  • En autoritetsværdi på 48 bit identifikator
  • Et variabelt antal 32-bit RID-værdier (under-autoritet eller relativ identifikator)

Ved hjælp af min SID i billedet nedenfor vil vi opdele de forskellige sektioner for at få en bedre forståelse.

SID-strukturen:

'S' - Den første komponent i et SID er altid et 'S'. Dette er forud for alle SID'er og er der for at informere Windows om, at det følgende er et SID.
’1′ - Den anden komponent i et SID er revisionsnummeret på SID-specifikationen. Hvis SID-specifikationen skulle ændres, ville den give bagudkompatibilitet. Fra Windows 7 og Server 2008 R2 er SID-specifikationen stadig i den første revision.
’5′ - Den tredje sektion af et SID kaldes Identifier Authority. Dette definerer i hvilket omfang SID blev genereret. Mulige værdier for disse sektioner af SID kan være:

  • 0 - Null Authority
  • 1 - Verdensmyndigheden
  • 2 - Lokal myndighed
  • 3 - Skabermyndighed
  • 4 - Ikke-unik autoritet
  • 5 - NT autoritet

’21′ - Den fjerde komponent er undermyndighed 1. Værdien '21' bruges i det fjerde felt til at specificere, at de undermyndigheder, der følger, identificerer den lokale maskine eller domænet.
’1206375286-251249764-2214032401′ - Disse kaldes henholdsvis undermyndighed 2,3 og 4. I vores eksempel bruges dette til at identificere den lokale maskine, men kan også være identifikatoren for et domæne.
’1000′ - Undermyndighed 5 er den sidste komponent i vores SID og kaldes RID (Relative Identifier). RID er i forhold til hvert sikkerhedsprincip: Vær opmærksom på, at alle brugerdefinerede objekter, dem der ikke sendes af Microsoft, har et RID på 1000 eller derover.

Sikkerhedsprincipper

Et sikkerhedsprincip er alt, hvad der har et SID knyttet til sig. Disse kan være brugere, computere og endda grupper. Sikkerhedsprincipper kan være lokale eller være i domænesammenhæng. Du administrerer lokale sikkerhedsprincipper gennem snapin-modulet Lokale brugere og grupper under computeradministration. For at komme dertil skal du højreklikke på computerens genvej i startmenuen og vælge administrer.

For at tilføje et nyt brugersikkerhedsprincip kan du gå til mappen Brugere og højreklikke og vælge Ny bruger.

Hvis du dobbeltklikker på en bruger, kan du føje dem til en sikkerhedsgruppe på fanen Medlem af.

For at oprette en ny sikkerhedsgruppe skal du navigere til mappen Grupper på højre side. Højreklik på det hvide mellemrum, og vælg Ny gruppe.

Del tilladelser og NTFS tilladelse

I Windows er der to typer fil- og mappetilladelser. For det første er der delingstilladelserne. For det andet er der NTFS-tilladelser, som også kaldes sikkerhedstilladelser. Sikring af delte mapper sker normalt med en kombination af Share og NTFS Permissions. Da dette er tilfældet, er det vigtigt at huske, at den mest restriktive tilladelse altid gælder. For eksempel, hvis delingstilladelsen giver alle-sikkerhedsprincippet læsetilladelse, men NTFS-tilladelsen tillader brugere at foretage en ændring af filen, vil delingstilladelsen have forrang, og brugerne får ikke lov til at foretage ændringer. Når du indstiller tilladelserne, kontrollerer LSASS (Local Security Authority) adgangen til ressourcen. Når du logger på, får du et adgangstoken med dit SID på det. Når du går for at få adgang til ressourcen, sammenligner LSASS det SID, du har tilføjet til ACL (Access Control List). Hvis SID er på ACL, bestemmer det, om det skal tillades eller nægtes adgang. Uanset hvilke tilladelser du bruger, er der forskelle, så lad os se for at få en bedre forståelse af, hvornår vi skal bruge hvad.

Del tilladelser:

  • Gælder kun for brugere, der har adgang til ressourcen via netværket. De gælder ikke, hvis du logger på lokalt, f.eks. Via terminaltjenester.
  • Det gælder for alle filer og mapper i den delte ressource. Hvis du vil give en mere detaljeret form for begrænsningsskema, skal du bruge NTFS-tilladelse ud over delte tilladelser
  • Hvis du har FAT- eller FAT32-formaterede diskenheder, er dette den eneste form for begrænsning, der er tilgængelig for dig, da NTFS-tilladelser ikke er tilgængelige på disse filsystemer.

NTFS Tilladelser:

  • Den eneste begrænsning for NTFS-tilladelser er, at de kun kan indstilles på en lydstyrke, der er formateret til NTFS-filsystemet
  • Husk, at NTFS-tilladelser er kumulative. Det betyder, at en brugers effektive tilladelser er resultatet af at kombinere brugerens tildelte tilladelser og tilladelserne for de grupper, brugeren tilhører.

De nye tilladelser til deling

Windows 7 købte en ny "let" delteknik. Indstillingerne blev ændret fra Læs, Skift og Fuld kontrol til Læs og Læs / Skriv. Idéen var en del af hele Homegroup-mentaliteten og gør det let at dele en mappe til ikke-computerkyndige mennesker. Dette gøres via genvejsmenuen og deles let med din hjemmegruppe.

Hvis du vil dele med nogen, der ikke er i hjemmegruppen, kan du altid vælge "Specifikke personer ...". Hvilket ville frembringe en mere "detaljeret" dialog, hvor du kunne angive en bruger eller gruppe.

Der er kun to tilladelser, som tidligere nævnt. Sammen tilbyder de et alt eller intet beskyttelsesprogram for dine mapper og filer.

  1. Læs tilladelse er indstillingen "se, rør ikke". Modtagere kan åbne, men ikke ændre eller slette en fil.
  2. Læse skrive er "gør noget" -muligheden. Modtagere kan åbne, ændre eller slette en fil.

Den gamle skoletilladelse

Den gamle delingsdialogboks havde flere muligheder, såsom muligheden for at dele mappen under et andet alias. Det tillod os at begrænse antallet af samtidige forbindelser samt konfigurere caching. Ingen af ​​denne funktionalitet går tabt i Windows 7, men skjules snarere under en mulighed kaldet "Advanced Sharing". Hvis du højreklikker på en mappe og går til dens egenskaber, kan du finde disse "Avanceret deling" -indstillinger under fanen deling.

Hvis du klikker på knappen "Avanceret deling", som kræver lokale administratoroplysninger, kan du konfigurere alle de indstillinger, du var bekendt med i tidligere versioner af Windows.

Hvis du klikker på tilladelsesknappen, får du de 3 indstillinger, som vi alle kender.

    • Læs tilladelse giver dig mulighed for at se og åbne filer og underkataloger samt udføre applikationer. Det tillader dog ikke, at der foretages ændringer.
    • Modificere tilladelse giver dig mulighed for at gøre alt det der Læs tilladelse tillader, og det tilføjer også muligheden for at tilføje filer og underkataloger, slette undermapper og ændre data i filerne.
    • Fuld kontrol er "gør hvad som helst" i de klassiske tilladelser, da det giver dig mulighed for at udføre alle tidligere tilladelser. Derudover giver det dig avanceret ændring af NTFS-tilladelse, men dette gælder kun i NTFS-mapper

NTFS Tilladelser

NTFS Tilladelser giver mulighed for meget detaljeret kontrol over dine filer og mapper. Med det sagt kan mængden af ​​granularitet være skræmmende for en nybegynder. Du kan også indstille NTFS-tilladelse både pr. Fil og pr. Mappe. For at indstille NTFS-tilladelse til en fil skal du højreklikke og gå til filens egenskaber og derefter gå til sikkerhedsfanen.

Klik på redigeringsknappen for at redigere NTFS-tilladelserne for en bruger eller gruppe.

Som du måske ser, er der ret mange NTFS-tilladelser, så lad os nedbryde dem. Først skal vi se på NTFS-tilladelser, som du kan indstille på en fil.

  • Fuld kontrol giver dig mulighed for at læse, skrive, ændre, udføre, ændre attributter, tilladelser og tage ejerskab af filen.
  • Modificere giver dig mulighed for at læse, skrive, ændre, udføre og ændre filens attributter.
  • Læs & udfør giver dig mulighed for at vise filens data, attributter, ejer og tilladelser og køre filen, hvis det er et program.
  • Læs giver dig mulighed for at åbne filen, se dens attributter, ejer og tilladelser.
  • Skrive giver dig mulighed for at skrive data til filen, føje til filen og læse eller ændre dens attributter.

NTFS Tilladelser til mapper har lidt forskellige muligheder, så lad os se på dem.

  • Fuld kontrol giver dig mulighed for at læse, skrive, ændre og udføre filer i mappen, ændre attributter, tilladelser og tage ejerskab af mappen eller filerne i.
  • Modificere giver dig mulighed for at læse, skrive, ændre og udføre filer i mappen og ændre attributter for mappen eller filerne i.
  • Læs & udfør giver dig mulighed for at vise mappens indhold og vise data, attributter, ejer og tilladelser for filer i mappen og køre filer i mappen.
  • Liste over mappens indhold giver dig mulighed for at vise mappens indhold og vise data, attributter, ejer og tilladelser for filer i mappen og køre filer i mappen
  • Læs giver dig mulighed for at vise filens data, attributter, ejer og tilladelser.
  • Skrive giver dig mulighed for at skrive data til filen, føje til filen og læse eller ændre dens attributter.

Resumé

Sammenfattende er brugernavne og grupper repræsentationer af en alfanumerisk streng kaldet en SID (Security Identifier). Del- og NTFS-tilladelser er knyttet til disse SID'er. Deltilladelser kontrolleres kun af LSSAS, når der er adgang til dem via netværket, mens NTFS-tilladelser kombineres med Deltilladelser for at give et mere detaljeret sikkerhedsniveau for ressourcer, der er adgang til via netværket såvel som lokalt.

Adgang til en delt ressource

Så nu hvor vi har lært om de to metoder, vi kan bruge til at dele indhold på vores pc'er, hvordan går du egentlig i gang med at få adgang til det via netværket? Det er meget simpelt. Skriv bare følgende i navigationslinjen.

\\ computername \ sharename

Bemærk: Det er klart, at du bliver nødt til at erstatte computernavn for navnet på den pc, der er vært for delingen, og delingsnavn for navnet på delingen.

Dette er fantastisk til engangsforbindelser, men hvad med i et større virksomhedsmiljø? Du behøver helt sikkert ikke lære dine brugere, hvordan de opretter forbindelse til en netværksressource ved hjælp af denne metode. For at omgå dette skal du kortlægge et netværksdrev til hver bruger. På denne måde kan du råde dem til at gemme deres dokumenter på "H" -drevet i stedet for at prøve at forklare, hvordan man opretter forbindelse til en deling. For at kortlægge et drev skal du åbne Computer og klikke på knappen "Kortnetværksdrev".

Indtast derefter blot UNC-stien for delingen.

Du spekulerer sandsynligvis på, om du skal gøre det på hver pc, og heldigvis er svaret nej. I stedet kan du skrive et batch-script for automatisk at kortlægge drevne til dine brugere ved logon og distribuere det via gruppepolitik.

Hvis vi dissekerer kommandoen:

  • Vi bruger netto brug kommando for at kortlægge drevet.
  • Vi bruger * for at angive, at vi vil bruge det næste tilgængelige drevbogstav.
  • Endelig er vi angiv delingen vi vil kortlægge drevet til. Bemærk, at vi brugte anførselstegn, fordi UNC-stien indeholder mellemrum.

Kryptering af filer ved hjælp af det krypterende filsystem

Windows inkluderer muligheden for at kryptere filer på et NTFS-volumen. Dette betyder, at kun du vil være i stand til at dekryptere filerne og se dem. For at kryptere en fil skal du blot højreklikke på den og vælge egenskaber i genvejsmenuen.

Klik derefter på avanceret.

Marker nu afkrydsningsfeltet Krypter indhold for at sikre data, og klik derefter på OK.

Gå nu videre og anvend indstillingerne.

Vi har kun brug for at kryptere filen, men du har også mulighed for at kryptere den overordnede mappe.

Bemærk, at når filen er krypteret, bliver den grøn.

Du vil nu bemærke, at kun du er i stand til at åbne filen, og at andre brugere på den samme pc ikke kan. Krypteringsprocessen bruger offentlig nøglekryptering , så hold dine krypteringsnøgler sikre. Hvis du mister dem, er din fil væk, og der er ingen måde at gendanne den på.

Lektier

  • Lær om tilladelsesarv og effektive tilladelser.
  • Læs det her Microsoft-dokument.
  • Lær, hvorfor du vil bruge BranchCache.
  • Lær, hvordan du deler printere, og hvorfor du gerne vil.
.indgangsindhold .indgangsfod

Windows 8 FIRST GEEK.

Exploring The Geeky Side Of Windows 7 - Math Input Panel

Privatliv og sikkerhed - Mest populære artikler

Hvilke Wi-Fi-sikkerhedskameraer giver dig mulighed for at optage lokalt?

Privatliv og sikkerhed Aug 3, 2025

UCACHED INDHOLD Wi-Fi-kameraer er lettere at installere og opsat sammenlignet med kabelforbundne kameraer. Men de kræver ofte abonnementer for at få mest muligt u..

Sådan logger du ud af Gmail

Privatliv og sikkerhed Jun 5, 2025

Din Gmail-konto er hjemsted for mere end bare e-mails. Når du logger ind på Google, åbner du adgang til Google Kalender, Play Butik og Drev for blot at nævne nogle få. For at h..

PC-virksomheder bliver sjusket med sikkerhed

Privatliv og sikkerhed Dec 11, 2024

UCACHED INDHOLD Intet er helt sikkert, og vi fjerner aldrig enhver sårbarhed derude. Men vi burde ikke se så mange sjuskete fejl, som vi har set fra HP, Apple, Intel og Microsof..

Sådan blokeres (eller tillades) visse applikationer til brugere i Windows

Privatliv og sikkerhed Jul 5, 2025

Hvis du vil begrænse, hvilke apps en bruger kan køre på en pc, giver Windows dig to muligheder. Du kan blokere de apps, du ikke ønsker, at en bruger skal køre, eller d..

Sådan installeres og flyttes Android-apps til SD-kortet

Privatliv og sikkerhed Jul 2, 2025

Hvis du har en Android-telefon eller -tablet med en lille mængde lagerplads, fortsætter du sandsynligvis med at afinstallere apps for at give plads til andre. Men der er en måde ..

Sådan indstilles en adgangskode til din Outlook-datafil

Privatliv og sikkerhed Mar 3, 2025

UCACHED INDHOLD Hvis du er bekymret for at beskytte din e-mail i Outlook mod nysgerrige øjne, især hvis du deler en computer med andre, kan du beskytte e-mailen i hver Outlook-k..

Sådan bruges Opdater og nulstil i Windows 8 eller 10 til nemt at geninstallere din pc

Privatliv og sikkerhed Aug 4, 2025

UCACHED INDHOLD Syg af formatering? Lær derefter, hvordan du puster nyt liv i dine maskiner uden formatering ved hjælp af de nye opdaterings- og nulstillingsfunktioner, der find..

Vær forsigtig med ikke at installere uønsket software med Digsby

Privatliv og sikkerhed Aug 13, 2025

UCACHED INDHOLD Hvis du er interesseret i at prøve den nyeste version af Digsby, skal du være forsigtig under installationen, så du ikke ender med en masse ekstra junk-software, du ikke ..

Kategorier