כיצד להבין את אלה שמבלבלים הרשאות קבצים / שיתוף

תוכן ללא הכנסה

האם ניסית אי פעם להבין את כל ההרשאות ב- Windows? יש הרשאות שיתוף, הרשאות NTFS, רשימות בקרת גישה ועוד. כך כולם עובדים יחד.

מזהה האבטחה

מערכות ההפעלה של Windows משתמשות ב- SID כדי לייצג את כל עיקרי האבטחה. SID הם רק מחרוזות באורך משתנה של תווים אלפאנומריים המייצגים מכונות, משתמשים וקבוצות. SIDs מתווספים ל- ACL (רשימות בקרת גישה) בכל פעם שאתה מעניק למשתמש או לקבוצה הרשאה לקובץ או לתיקיה. מאחורי הסצינה מאוחסנים SIDs באותה צורה שבה כל אובייקט הנתונים האחר הוא, בינארי. עם זאת כאשר אתה רואה SID ב- Windows הוא יוצג באמצעות תחביר קריא יותר. לא לעתים קרובות תראה צורה כלשהי של SID ב- Windows, התרחיש הנפוץ ביותר הוא כאשר אתה נותן למישהו אישור למשאב, ואז חשבון המשתמש שלו נמחק, ואז הוא יופיע כ- SID ב- ACL. אז בואו נסתכל על הפורמט האופייני בו תראו SIDs ב- Windows.

הסימון שתראה לוקח תחביר מסוים, להלן החלקים השונים של SID בסימון זה.

1. קידומת 'S'
2. מספר תיקון מבנה
3. ערך סמכות מזהה של 48 סיביות
4. מספר משתנה של ערכי תת-סמכות או מזהה יחסי של 32 סיביות (RID)

באמצעות ה- SID שלי בתמונה למטה נפרק את הסעיפים השונים כדי לקבל הבנה טובה יותר.

מבנה ה- SID:

'S' - המרכיב הראשון של SID הוא תמיד 'S'. זה מקדים לכל SIDs ויש בו כדי להודיע ​​ל- Windows שמה שאחריו הוא SID.
‘1’ - המרכיב השני של SID הוא מספר התיקון של מפרט ה- SID, אם מפרט ה- SID היה משתנה הוא יספק תאימות לאחור. החל מ- Windows 7 ו- Server 2008 R2, מפרט ה- SID עדיין נמצא במהדורה הראשונה.
‘5’ - החלק השלישי ב- SID נקרא רשות המזהים. זה מגדיר באיזה היקף נוצר ה- SID. ערכים אפשריים עבור חלקים אלה של ה- SID יכולים להיות:

1. 0 - סמכות אפס
2. 1 - הרשות העולמית
3. 2 - רשות מקומית
4. 3 - רשות היוצרים
5. 4 - סמכות לא ייחודית
6. 5 - רשות NT

’21’ - הרכיב הרביעי הוא תת-רשות 1, הערך '21' משמש בשדה הרביעי כדי לציין כי רשויות המשנה העוקבות מזהות את המכונה המקומית או את התחום.
‘1206375286-251249764-2214032401’ - אלה נקראים תת סמכות 2,3 ו -4 בהתאמה. בדוגמה שלנו זה משמש לזיהוי המכונה המקומית, אך יכול להיות גם המזהה של דומיין.
‘1000’ - תת-סמכות 5 היא הרכיב האחרון ב- SID שלנו ומכונה RID (Relative Identifier), ה- RID הוא יחסית לכל מנהל אבטחה, שימו לב שלכל אובייקט שהוגדר על ידי המשתמש, אלה שלא נשלחו על ידי מיקרוסופט, תהיה RID של 1000 ומעלה.

מנהלי אבטחה

מנהל אבטחה הוא כל מה שמצורף אליו SID, אלה יכולים להיות משתמשים, מחשבים ואפילו קבוצות. מנהלי אבטחה יכולים להיות מקומיים או להיות בהקשר התחום. אתה מנהל עקרונות אבטחה מקומיים באמצעות יישום ה- Snap-in של משתמשים וקבוצות מקומיים, בניהול מחשב. כדי להגיע לשם לחץ לחיצה ימנית על קיצור הדרך במחשב בתפריט ההתחלה ובחר ניהול.

כדי להוסיף מנהל אבטחה חדש למשתמש, תוכלו לעבור לתיקיית המשתמשים וללחוץ לחיצה ימנית ולבחור משתמש חדש.

אם תלחץ לחיצה כפולה על משתמש תוכל להוסיף אותו לקבוצת אבטחה בכרטיסיה חבר אוף.

ליצירת קבוצת אבטחה חדשה, נווט לתיקיה קבוצות בצד ימין. לחץ לחיצה ימנית על החלל הלבן ובחר קבוצה חדשה.

הרשאות שיתוף והרשאות NTFS

ב- Windows ישנם שני סוגים של הרשאות קבצים ותיקיות, ראשית יש הרשאות שיתוף ושנית יש הרשאות NTFS הנקראות גם הרשאות אבטחה. שימו לב שכאשר אתם חולקים תיקיה כברירת מחדל, לקבוצת "כולם" ניתן אישור קריאה. אבטחה בתיקיות מתבצעת בדרך כלל בשילוב של שיתוף ו- NTFS הרשאה אם ​​זה המקרה חשוב לזכור שהמגביל ביותר חל תמיד, למשל אם הרשאת השיתוף מוגדרת לכולם = קרא (שהיא ברירת המחדל), אך הרשאת NTFS מאפשרת למשתמשים לבצע שינוי בקובץ, הרשאת השיתוף תקבל עדיפות והמשתמשים לא יורשו לבצע שינויים. כאשר אתה מגדיר את ההרשאות, LSASS (רשות האבטחה המקומית) שולטת בגישה למשאב. כשאתה מתחבר ניתנת לך אסימון גישה עם ה- SID שלך, כאשר אתה ניגש למשאב ה- LSASS משווה את ה- SID שהוספת לרשימת ה- ACL (רשימת בקרת הגישה) ואם ה- SID נמצא ב- ACL הוא קובע אם אפשר או דחה גישה. לא משנה באילו הרשאות אתה משתמש יש הבדלים, אז בואו נסתכל על מנת להבין טוב יותר מתי עלינו להשתמש במה.

הרשאות שיתוף:

1. חל רק על משתמשים שניגשים למשאב דרך הרשת. הם לא חלים אם אתה מתחבר באופן מקומי, למשל באמצעות שירותי מסוף.
2. זה חל על כל הקבצים והתיקיות במשאב המשותף. אם ברצונך לספק סוג מסודר יותר של ערכת הגבלות, עליך להשתמש בהרשאות NTFS בנוסף להרשאות משותפות
3. אם יש לך אמצעי אחסון מעוצבים מסוג FAT או FAT32, זו תהיה צורת ההגבלה היחידה העומדת לרשותך, שכן הרשאות NTFS אינן זמינות במערכות קבצים אלה.

הרשאות NTFS:

1. המגבלה היחידה בהרשאות NTFS היא שניתן להגדיר אותן רק בנפח שמעוצב למערכת הקבצים NTFS.
2. זכור כי NTFS הם מצטברים שמשמעותם הרשאות יעילות של משתמשים הן תוצאה של שילוב ההרשאות שהוקצו למשתמש וההרשאות של כל הקבוצות שהמשתמש משתייך אליהן.

ההיתרים לשיתוף חדש

חלונות 7 קנו טכניקת שיתוף חדשה "קלה". האפשרויות השתנו מקריאה, שינוי ושליטה מלאה ל. לקרוא ולקרוא / לכתוב. הרעיון היה חלק מכל המנטליות של קבוצת הבית ומקלה על שיתוף תיקיה לאנשים שאינם בעלי קרוא מחשבים. זה נעשה באמצעות תפריט ההקשר ומשתף את הקבוצה הביתית שלך בקלות.

אם תרצה לשתף מישהו שאינו בקבוצת הבית, תוכל תמיד לבחור באפשרות "אנשים ספציפיים ...". מה שיביא לדיאלוג "משוכלל" יותר. היכן תוכל לציין משתמש או קבוצה ספציפיים.

יש רק שני הרשאות כאמור, יחד הם מציעים תוכנית הגנה על הכל או על כל דבר עבור התיקיות והקבצים שלך.

1. לקרוא ההרשאה היא האפשרות "הסתכל, אל תיגע". הנמענים יכולים לפתוח, אך לא לשנות או למחוק קובץ.
2. קרוא וכתוב היא האפשרות "לעשות הכל". הנמענים יכולים לפתוח, לשנות או למחוק קובץ.

דרך בית הספר הישן

בדיאלוג השיתוף הישן היו יותר אפשרויות ונתן לנו אפשרות לשתף את התיקיה תחת כינוי אחר, זה איפשר לנו להגביל את מספר החיבורים בו זמנית, כמו גם להגדיר מטמון. אף אחת מהפונקציונליות הזו לא הולכת לאיבוד ב- Windows 7 אלא מוסתרת תחת אפשרות הנקראת "שיתוף מתקדם". אם תלחץ לחיצה ימנית על תיקיה ותעבור לתכונותיה תוכל למצוא את הגדרות "שיתוף מתקדם" אלה בכרטיסיית השיתוף.

אם תלחץ על כפתור "שיתוף מתקדם", הדורש אישורי מנהל מקומי, תוכל להגדיר את כל ההגדרות שהכרת בגירסאות קודמות של Windows.

אם תלחץ על כפתור ההרשאות יוצגו בפניך שלוש ההגדרות שכולנו מכירים.

1. לקרוא ההרשאה מאפשרת לך להציג ולפתוח קבצים וספריות משנה וכן לבצע יישומים. עם זאת זה לא מאפשר לבצע שינויים.
2. לְשַׁנוֹת ההרשאה מאפשרת לך לעשות כל מה ש לקרוא ההרשאה מאפשרת, היא מוסיפה גם את היכולת להוסיף קבצים וספריות משנה, למחוק תיקיות משנה ולשנות נתונים בקבצים.
3. שליטה מלאה הוא "לעשות הכל" של ההרשאות הקלאסיות, מכיוון שהוא מאפשר לך לבצע את כל ההרשאות הקודמות. בנוסף זה נותן לך את הרשאת ה- NTFS המתקדמת המשתנה, זה חל רק בתיקיות NTFS

הרשאות NTFS

הרשאת NTFS מאפשרת שליטה גרעינית מאוד על הקבצים והתיקיות שלך. עם זאת, כמות הפירעונות יכולה להרתיע את העולה החדשה. באפשרותך גם להגדיר הרשאת NTFS על בסיס קובץ וכן על בסיס תיקיה. כדי להגדיר הרשאת NTFS בקובץ עליך ללחוץ לחיצה ימנית וללכת למאפייני הקבצים שבהם תצטרך לעבור לכרטיסיית האבטחה.

כדי לערוך את הרשאות NTFS עבור משתמש או קבוצה לחץ על כפתור העריכה.

כפי שאתה עשוי לראות יש די הרבה הרשאות NTFS אז מאפשר לפרק אותן. ראשית נבחן את הרשאות NTFS שתוכל להגדיר בקובץ.

1. שליטה מלאה מאפשר לך לקרוא, לכתוב, לשנות, לבצע, לשנות תכונות, הרשאות ולקחת בעלות על הקובץ.
2. לְשַׁנוֹת מאפשר לך לקרוא, לכתוב, לשנות, לבצע ולשנות את תכונות הקובץ.
3. קרא & בצע יאפשר לך להציג את נתוני הקובץ, את המאפיינים, את הבעלים ואת ההרשאות ולהפעיל את הקובץ אם זה תוכנית.
4. לקרוא יאפשר לך לפתוח את הקובץ, להציג את התכונות שלו, הבעלים וההרשאות שלו.
5. לִכתוֹב יאפשר לך לכתוב נתונים לקובץ, להוסיף לקובץ ולקרוא או לשנות את התכונות שלו.

להרשאות NTFS לתיקיות יש אפשרויות שונות במקצת, אז בואו נסתכל עליהן.

1. שליטה מלאה מאפשר לך לקרוא, לכתוב, לשנות ולבצע קבצים בתיקיה, לשנות מאפיינים, הרשאות ולקחת בעלות על התיקיה או הקבצים שבתוכה.
2. לְשַׁנוֹת מאפשר לך לקרוא, לכתוב, לשנות ולהפעיל קבצים בתיקיה ולשנות תכונות של התיקיה או הקבצים שבתוכה.
3. קרא & בצע יאפשר לך להציג את תוכן התיקיה ולהציג את הנתונים, התכונות, הבעלים וההרשאות עבור קבצים בתוך התיקיה, ולהריץ קבצים בתוך התיקיה.
4. רשימת תוכן תיקיות יאפשר לך להציג את תוכן התיקיה ולהציג את הנתונים, התכונות, הבעלים וההרשאות עבור קבצים בתוך התיקיה.
5. לקרוא יאפשר לך להציג את נתוני הקובץ, המאפיינים, הבעלים וההרשאות.
6. לִכתוֹב יאפשר לך לכתוב נתונים לקובץ, להוסיף לקובץ ולקרוא או לשנות את התכונות שלו.

התיעוד של מיקרוסופט מציין גם כי "רשימת תוכן תיקיות" תאפשר לך לבצע קבצים בתוך התיקיה, אך עדיין יהיה עליך להפעיל את "קריאה והוצאה לפועל" על מנת לעשות זאת. זה אישור מתועד מאוד מבלבל.

סיכום

לסיכום, שמות משתמשים וקבוצות הם ייצוגים של מחרוזת אלפא-נומרית הנקראת SID (מזהה אבטחה), הרשאות שיתוף ו- NTFS קשורות ל- SID אלה. הרשאות שיתוף נבדקות על ידי LSSAS רק כאשר ניגשים לרשת, ואילו הרשאות NTFS תקפות רק במכונות המקומיות. אני מקווה שלכולכם יש הבנה טובה של אופן היישום של אבטחת קבצים ותיקיות ב- Windows 7. אם יש לך שאלות אל תהסס להישמע בתגובות.