בית ספר חנון: לימוד חלונות 7 - גישה למשאבים

תוכן ללא הכנסה

בהתקנה זו של Geek School, אנו נסתכל על וירטואליזציה של תיקיות, SID והרשאה, כמו גם על מערכת הקבצים המוצפנת.

הקפד לבדוק את המאמרים הקודמים בסדרה זו של Geek School ב- Windows 7:

• היכרות עם בית הספר How-To Geek
• שדרוגים והגירות
• קביעת תצורה של מכשירים
• ניהול דיסקים
• ניהול יישומים
• ניהול Internet Explorer
• יסודות כתובת IP
• רשת
• רשת אלחוטית
• חומת האש של Windows
• מינהל מרחוק
• גישה מרחוק
• מעקב, ביצועים ועדכני חלונות

והישאר מעודכן להמשך הסדרה כל השבוע הזה.

וירטואליזציה של תיקיות

Windows 7 הציג את מושג הספריות שאיפשר לך להיות במיקום מרכזי שממנו תוכל להציג משאבים שנמצאים במקום אחר במחשב שלך. באופן ספציפי יותר, תכונת הספריות אפשרה לך להוסיף תיקיות מכל מקום במחשב שלך לאחת מארבע ספריות ברירת המחדל, מסמכים, מוסיקה, סרטונים ותמונות, הנגישות בקלות מחלונית הניווט של סייר Windows.

ישנם שני דברים חשובים שיש לציין לגבי תכונת הספרייה:

• כאשר אתה מוסיף תיקיה לספריה התיקיה עצמה לא זזה, אלא נוצר קישור למיקום התיקיה.
• על מנת להוסיף שיתוף רשת לספריות שלך, הוא חייב להיות זמין במצב לא מקוון, אם כי אתה יכול גם להשתמש לעקוף באמצעות קישורים סמליים.

כדי להוסיף תיקיה לספריה, פשוט היכנס לספרייה ולחץ על קישור המיקומים.

לאחר מכן לחץ על כפתור ההוספה.

כעת אתר את התיקיה שברצונך לכלול בספריה ולחץ על כפתור כלול תיקיה.

זה כל מה שיש בזה.

מזהה האבטחה

מערכת ההפעלה Windows משתמשת ב- SID כדי לייצג את כל עקרונות האבטחה. SID הם רק מחרוזות באורך משתנה של תווים אלפאנומריים המייצגים מכונות, משתמשים וקבוצות. SIDs מתווספים ל- ACL (רשימות בקרת גישה) בכל פעם שאתה מעניק למשתמש או לקבוצה הרשאה לקובץ או לתיקיה. מאחורי הקלעים, SID מאוחסנים באותו אופן כמו כל שאר אובייקטים הנתונים: בינארי. עם זאת, כאשר אתה רואה SID ב- Windows, הוא יוצג באמצעות תחביר קריא יותר. לא לעתים קרובות תראה צורה כלשהי של SID ב- Windows; התרחיש הנפוץ ביותר הוא כאשר אתה מעניק למישהו אישור למשאב ואז מוחק את חשבון המשתמש שלו. ה- SID יופיע ב ACL. אז בואו נסתכל על הפורמט האופייני בו תראו SIDs ב- Windows.

הסימון שתראה לוקח תחביר מסוים. להלן החלקים השונים של SID.

• קידומת 'S'
• מספר תיקון מבנה
• ערך סמכות מזהה של 48 סיביות
• מספר משתנה של ערכי תת-סמכות או מזהה יחסי של 32 סיביות (RID)

באמצעות ה- SID שלי בתמונה למטה נפרק את הסעיפים השונים כדי לקבל הבנה טובה יותר.

מבנה ה- SID:

'S' - המרכיב הראשון של SID הוא תמיד 'S'. זה מקדים לכל SIDs ויש בו כדי להודיע ​​ל- Windows שמה שאחריו הוא SID.
’1′ - המרכיב השני של SID הוא מספר התיקון של מפרט ה- SID. אם מפרט ה- SID היה משתנה הוא יספק תאימות לאחור. החל מ- Windows 7 ו- Server 2008 R2, מפרט ה- SID עדיין בתיקון הראשון.
’5′ - החלק השלישי ב- SID נקרא רשות המזהים. זה מגדיר באיזה היקף נוצר ה- SID. ערכים אפשריים עבור חלקים אלה של ה- SID יכולים להיות:

• 0 - סמכות אפס
• 1 - הרשות העולמית
• 2 - רשות מקומית
• 3 - רשות היוצרים
• 4 - סמכות לא ייחודית
• 5 - רשות NT

’21′ - הרכיב הרביעי הוא תת-סמכות 1. הערך '21' משמש בשדה הרביעי כדי לציין כי רשויות המשנה שעוקבות אחר כך מזהות את המחשב המקומי או את התחום.
’1206375286-251249764-2214032401′ - אלה נקראים תת סמכות 2,3 ו -4 בהתאמה. בדוגמה שלנו זה משמש לזיהוי המכונה המקומית, אך יכול להיות גם המזהה של דומיין.
’1000′ - תת-סמכות 5 היא המרכיב האחרון ב- SID שלנו ומכונה RID (Relative Identifier). ה- RID הוא יחסית לכל עקרון אבטחה: שימו לב שלכל אובייקט שהוגדר על ידי המשתמש, אלה שלא נשלחו על ידי מיקרוסופט, יהיה RID של 1000 ומעלה.

עקרונות אבטחה

עקרון אבטחה הוא כל דבר שקשור אליו SID. אלה יכולים להיות משתמשים, מחשבים ואפילו קבוצות. עקרונות האבטחה יכולים להיות מקומיים או להיות בהקשר התחום. אתה מנהל עקרונות אבטחה מקומיים באמצעות יישום ה- Snap-in של משתמשים וקבוצות מקומיים, בניהול מחשב. כדי להגיע, לחץ לחיצה ימנית על קיצור הדרך במחשב בתפריט ההתחלה ובחר לנהל.

כדי להוסיף עקרון אבטחת משתמשים חדש, תוכלו לעבור לתיקיית המשתמשים וללחוץ ימני ולבחור משתמש חדש.

אם תלחץ לחיצה כפולה על משתמש תוכל להוסיף אותו לקבוצת אבטחה בכרטיסיה חבר אוף.

ליצירת קבוצת אבטחה חדשה, נווט לתיקיה קבוצות בצד ימין. לחץ לחיצה ימנית על החלל הלבן ובחר קבוצה חדשה.

הרשאות שיתוף והרשאות NTFS

ב- Windows ישנם שני סוגים של הרשאות קבצים ותיקיות. ראשית, יש הרשאות שיתוף. שנית, יש הרשאות NTFS, הנקראות גם הרשאות אבטחה. אבטחת תיקיות משותפות מתבצעת בדרך כלל בשילוב של הרשאות שיתוף ו- NTFS. מכיוון שזה המקרה, חשוב לזכור שההרשאה המגבילה ביותר חלה תמיד. לדוגמא, אם הרשאת השיתוף מעניקה לעקרון האבטחה של כולם הרשאת קריאה, אך הרשאת NTFS מאפשרת למשתמשים לבצע שינוי בקובץ, הרשאת השיתוף תקדימה, והמשתמשים לא יורשו לבצע שינויים. כאשר אתה מגדיר את ההרשאות, LSASS (רשות האבטחה המקומית) שולטת בגישה למשאב. כשאתה מתחבר, אתה מקבל אסימון גישה עם ה- SID שלך עליו. כאשר אתה ניגש לגשת למשאב, ה- LSASS משווה את ה- SID שהוספת לרשימת ה- ACL (רשימת בקרת גישה). אם ה- SID נמצא ב- ACL, הוא קובע אם לאפשר גישה או למנוע אותה. לא משנה באילו הרשאות תשתמשו, יש הבדלים, אז בואו נבדוק כדי להבין טוב יותר מתי עלינו להשתמש במה.

הרשאות שיתוף:

• חל רק על משתמשים שניגשים למשאב דרך הרשת. הם לא חלים אם אתה מתחבר באופן מקומי, למשל באמצעות שירותי מסוף.
• זה חל על כל הקבצים והתיקיות במשאב המשותף. אם ברצונך לספק סוג מסודר יותר של ערכת הגבלות, עליך להשתמש בהרשאות NTFS בנוסף להרשאות משותפות
• אם יש לך אמצעי אחסון מעוצבים מסוג FAT או FAT32, זו תהיה צורת ההגבלה היחידה העומדת לרשותך, שכן הרשאות NTFS אינן זמינות במערכות קבצים אלה.

הרשאות NTFS:

• המגבלה היחידה בהרשאות NTFS היא שניתן להגדיר אותן רק בנפח שמעוצב למערכת הקבצים NTFS.
• זכור כי הרשאות NTFS הן מצטברות. כלומר ההרשאות האפקטיביות של המשתמש הן תוצאה של שילוב ההרשאות שהוקצו למשתמש וההרשאות של כל הקבוצות שהמשתמש משתייך אליהן.

ההיתרים לשיתוף חדש

חלונות 7 קנו טכניקת שיתוף חדשה "קלה". האפשרויות השתנו מקריאה, שינוי ושליטה מלאה לקריאה וקריאה / כתיבה. הרעיון היה חלק מכל המנטאליות של הום-גרופ ומקלה על שיתוף תיקיה לאנשים שאינם יודעים קרוא וכתוב. זה נעשה באמצעות תפריט ההקשר ומשתף את הקבוצה הביתית שלך בקלות.

אם ברצונך לשתף מישהו שאינו בקבוצת הבית, תוכל תמיד לבחור באפשרות "אנשים ספציפיים ...". מה שיביא לדיאלוג יותר "מורכב" שבו תוכל לציין משתמש או קבוצה.

ישנן שתי הרשאות בלבד, כאמור. יחד, הם מציעים תוכנית הגנה של הכל או כלום עבור התיקיות והקבצים שלך.

1. לקרוא ההרשאה היא האפשרות "הסתכל, אל תיגע". הנמענים יכולים לפתוח, אך לא לשנות או למחוק קובץ.
2. קרוא וכתוב היא האפשרות "לעשות הכל". הנמענים יכולים לפתוח, לשנות או למחוק קובץ.

היתר בית הספר הישן

בדיאלוג השיתוף הישן היו אפשרויות נוספות, כגון האפשרות לשתף את התיקיה תחת כינוי אחר. זה איפשר לנו להגביל את מספר החיבורים בו זמנית, כמו גם להגדיר מטמון. אף אחד מהפונקציונליות הזו לא הולך לאיבוד ב- Windows 7, אלא מוסתר תחת אפשרות שנקראת "שיתוף מתקדם". אם תלחץ לחיצה ימנית על תיקיה ותעבור לתכונותיה תוכל למצוא את הגדרות "שיתוף מתקדם" אלה בכרטיסיית השיתוף.

אם תלחץ על כפתור "שיתוף מתקדם", הדורש אישורי מנהל מקומי, תוכל להגדיר את כל ההגדרות שהכרת בגירסאות קודמות של Windows.

אם תלחץ על כפתור ההרשאות, יוצגו בפניך שלוש ההגדרות שכולנו מכירים.

• לקרוא ההרשאה מאפשרת לך להציג ולפתוח קבצים וספריות משנה וכן לבצע יישומים. עם זאת זה לא מאפשר לבצע שינויים.
• לְשַׁנוֹת ההרשאה מאפשרת לך לעשות כל מה ש לקרוא ההרשאה מאפשרת, והיא גם מוסיפה את היכולת להוסיף קבצים וספריות משנה, למחוק תיקיות משנה ולשנות נתונים בקבצים.
• שליטה מלאה הוא "לעשות הכל" של ההרשאות הקלאסיות, מכיוון שהוא מאפשר לך לבצע את כל ההרשאות הקודמות. בנוסף, זה נותן לך הרשאה מתקדמת לשינוי NTFS, אך זה חל רק בתיקיות NTFS

הרשאות NTFS

הרשאות NTFS מאפשרות שליטה פרטנית מאוד על הקבצים והתיקיות שלך. עם זאת, כמות הפירעונות עשויה להרתיע את המצטרף החדש. באפשרותך גם להגדיר הרשאת NTFS על בסיס קובץ וכן על בסיס תיקיה. כדי להגדיר הרשאת NTFS לקובץ, עליך ללחוץ לחיצה ימנית וללכת למאפייני הקובץ ואז לעבור לכרטיסיית האבטחה.

כדי לערוך את הרשאות NTFS עבור משתמש או קבוצה, לחץ על כפתור העריכה.

כפי שאתה עשוי לראות, יש די הרבה הרשאות NTFS, אז בוא נשבור אותן. ראשית, נסתכל על הרשאות NTFS שתוכל להגדיר בקובץ.

• שליטה מלאה מאפשר לך לקרוא, לכתוב, לשנות, לבצע, לשנות תכונות, הרשאות ולקחת בעלות על הקובץ.
• לְשַׁנוֹת מאפשר לך לקרוא, לכתוב, לשנות, לבצע ולשנות את תכונות הקובץ.
• קרא & בצע יאפשר לך להציג את נתוני הקובץ, את המאפיינים, את הבעלים ואת ההרשאות ולהפעיל את הקובץ אם מדובר בתוכנית.
• לקרוא יאפשר לך לפתוח את הקובץ, להציג את התכונות שלו, הבעלים וההרשאות שלו.
• לִכתוֹב יאפשר לך לכתוב נתונים לקובץ, להוסיף לקובץ ולקרוא או לשנות את התכונות שלו.

להרשאות NTFS לתיקיות יש אפשרויות שונות במקצת, אז בואו נסתכל עליהן.

• שליטה מלאה יאפשר לך לקרוא, לכתוב, לשנות ולבצע קבצים בתיקיה, לשנות תכונות, הרשאות ולקחת בעלות על התיקיה או הקבצים שבתוכה.
• לְשַׁנוֹת יאפשר לך לקרוא, לכתוב, לשנות ולהפעיל קבצים בתיקיה ולשנות תכונות של התיקיה או הקבצים שבתוכה.
• קרא & בצע יאפשר לך להציג את תוכן התיקיה ולהציג את הנתונים, התכונות, הבעלים וההרשאות עבור קבצים בתוך התיקיה, ולהריץ קבצים בתוך התיקיה.
• רשימת תוכן תיקיות יאפשר לך להציג את תוכן התיקיה ולהציג את הנתונים, התכונות, הבעלים וההרשאות עבור קבצים בתוך התיקיה, ולהריץ קבצים בתוך התיקיה
• לקרוא יאפשר לך להציג את נתוני הקובץ, המאפיינים, הבעלים וההרשאות.
• לִכתוֹב יאפשר לך לכתוב נתונים לקובץ, להוסיף לקובץ ולקרוא או לשנות את התכונות שלו.

סיכום

לסיכום, שמות משתמשים וקבוצות הם ייצוגים של מחרוזת אלפא-נומרית הנקראת SID (מזהה אבטחה). הרשאות שיתוף ו- NTFS קשורות ל- SID אלה. הרשאות שיתוף נבדקות על ידי LSSAS רק כאשר ניגשים אליהן ברשת, ואילו הרשאות NTFS משולבות עם הרשאות שיתוף כדי לאפשר רמת אבטחה מפורטת יותר עבור המשאבים הנמצאים ברשת וכן באופן מקומי.

גישה למשאב משותף

אז עכשיו לאחר שלמדנו על שתי השיטות שבהן אנו יכולים להשתמש כדי לשתף תוכן במחשבים האישי שלנו, כיצד אתה באמת יכול לגשת אליו דרך הרשת? זה פשוט מאוד. פשוט הקלד את הדברים הבאים בסרגל הניווט.

\\ שם מחשב \ שם שם

הערה: ברור שתצטרך להחליף את שם המחשב לשם המחשב האישי המארח את השיתוף ואת שם השם לשם השיתוף.

זה נהדר לחיבורים חד פעמיים, אבל מה עם בסביבה ארגונית גדולה יותר? אין ספק שאתה לא צריך ללמד את המשתמשים שלך כיצד להתחבר למשאב רשת בשיטה זו. כדי לעקוף את זה, תרצה למפות כונן רשת לכל משתמש, בדרך זו תוכל לייעץ להם לאחסן את המסמכים שלהם בכונן "H", במקום לנסות להסביר כיצד להתחבר לשיתוף. למיפוי כונן, פתח את מחשב ולחץ על כפתור "כונן רשת מפה".

ואז פשוט הקלד את נתיב ה- UNC של המניה.

אתם בטח תוהים אם עליכם לעשות זאת בכל מחשב, ולמרבה המזל התשובה היא לא. במקום זאת, אתה יכול לכתוב סקריפט אצווה כדי למפות אוטומטית את הכוננים עבור המשתמשים שלך בכניסה ולפרוס אותו באמצעות מדיניות קבוצתית.

אם ננתח את הפקודה:

• אנו משתמשים ב- שימוש נטו פקודה למפות את הכונן.
• אנו משתמשים ב- * כדי לציין שאנחנו רוצים להשתמש באות הכונן הבאה.
• סוף סוף אנחנו ציין את השיתוף אנחנו רוצים למפות את הכונן אל. שימו לב שהשתמשנו במרכאות מכיוון שנתיב ה- UNC מכיל רווחים.

הצפנת קבצים באמצעות מערכת הקבצים ההצפנה

Windows כולל את האפשרות להצפין קבצים בנפח NTFS. המשמעות היא שרק אתה תוכל לפענח את הקבצים ולהציג אותם. על מנת להצפין קובץ, פשוט לחץ עליו באמצעות לחצן העכבר הימני ובחר מאפיינים מתפריט ההקשר.

ואז לחץ על מתקדם.

כעת סמן את תיבת הסימון הצפן תוכן לאבטחת נתונים ולאחר מכן לחץ על אישור.

כעת המשך והחל את ההגדרות.

עלינו רק להצפין את הקובץ, אך יש לך אפשרות להצפין גם את תיקיית האב.

שים לב שברגע שהקובץ מוצפן הוא הופך לירוק.

כעת תבחין שרק אתה תוכל לפתוח את הקובץ ושמשתמשים אחרים באותו מחשב לא יוכלו. תהליך ההצפנה משתמש הצפנת מפתח ציבורי , אז שמור על מפתחות ההצפנה שלך. אם אתה מאבד אותם, הקובץ שלך נעלם ואין שום אפשרות לשחזר אותו.

שיעורי בית

• למד אודות ירושת הרשאות והרשאות יעילות.
• לקרוא זֶה מסמך של מיקרוסופט.
• למד מדוע תרצה להשתמש ב- BranchCache.
• למד כיצד לשתף מדפסות ומדוע תרצה בכך.