Hvordan forstå de forvirrende Windows 7 fil- / deletillatelsene

Oct 28, 2025
Personvern og sikkerhet
UCACHED INNHOLD

Har du noen gang prøvd å finne ut alle tillatelsene i Windows? Det er delingstillatelser, NTFS-tillatelser, tilgangskontrollister og mer. Slik fungerer de alle sammen.

Sikkerhetsidentifikatoren

Windows-operativsystemene bruker SIDer til å representere alle sikkerhetsprinsipper. SID er bare strenger med variabel lengde med alfanumeriske tegn som representerer maskiner, brukere og grupper. SID-er legges til ACL-er (Access Control Lists) hver gang du gir en bruker eller gruppe tillatelse til en fil eller mappe. Bak scenen lagres SID på samme måte som alle andre dataobjekter er, i binær. Men når du ser en SID i Windows, vil den vises ved hjelp av en mer lesbar syntaks. Det er ikke ofte du vil se noen form for SID i Windows, det vanligste scenariet er når du gir noen tillatelse til en ressurs, så blir brukerkontoen deres slettet, den vil da vises som en SID i ACL. Så la oss ta en titt på det typiske formatet der du vil se SID-er i Windows.

Notasjonen som du vil se tar en viss syntaks, nedenfor er de forskjellige delene av en SID i denne notasjonen.

  1. Et ‘S’ prefiks
  2. Strukturrevisjonsnummer
  3. En autorisasjonsverdi på 48 bit
  4. Et variabelt antall 32-bits verdier for undermyndighet eller relativ identifikator (RID)

Ved å bruke min SID i bildet nedenfor vil vi dele opp de forskjellige seksjonene for å få en bedre forståelse.

SID-strukturen:

‘S’ - Den første komponenten i en SID er alltid en ‘S’. Dette er prefikset til alle SID-er og er der for å informere Windows om at det som følger er en SID.
‘1’ - Den andre komponenten i et SID er revisjonsnummeret til SID-spesifikasjonen. Hvis SID-spesifikasjonen skulle endres, ville den gi bakoverkompatibilitet. Fra og med Windows 7 og Server 2008 R2 er SID-spesifikasjonen fortsatt i den første revisjonen.
‘5’ - Den tredje delen av et SID kalles Identifier Authority. Dette definerer i hvilket omfang SID ble generert. Mulige verdier for disse delene av SID kan være:

  1. 0 – Null Authority
  2. 1 - Verdens autoritet
  3. 2 - Kommunen
  4. 3 - Skapermyndighet
  5. 4 - Ikke-unik autoritet
  6. 5 - NT autoritet

’21’ - Den fjerde komponenten er undermyndighet 1, verdien '21' brukes i det fjerde feltet for å spesifisere at undermyndighetene som følger identifiserer den lokale maskinen eller domenet.
‘1206375286-251249764-2214032401’ - Disse kalles henholdsvis undermyndighet 2,3 og 4. I vårt eksempel brukes dette til å identifisere den lokale maskinen, men kan også være identifikatoren for et domene.
‘1000’ - Undermyndighet 5 er den siste komponenten i vår SID og kalles RID (Relative Identifier), RID er relativt til hver sikkerhetsprinsipper. Vær oppmerksom på at alle brukerdefinerte objekter, de som ikke sendes av Microsoft, vil ha en RID på 1000 eller høyere.

Sikkerhetsprinsipper

En sikkerhetsprinsipper er alt som har en SID knyttet til seg, disse kan være brukere, datamaskiner og til og med grupper. Sikkerhetsansvarlige kan være lokale eller være i domenekonteksten. Du administrerer lokale sikkerhetsprinsipper gjennom snapin-modulen Lokale brukere og grupper, under datamaskinadministrasjon. For å komme dit høyreklikker du på datamaskinens snarvei i startmenyen og velger administrer.

For å legge til en ny brukersikkerhetsprinsipp kan du gå til brukermappen og høyreklikke og velge ny bruker.

Hvis du dobbeltklikker på en bruker, kan du legge dem til i en sikkerhetsgruppe i kategorien Medlem av.

For å opprette en ny sikkerhetsgruppe, naviger til mappen Grupper på høyre side. Høyreklikk på det hvite rommet og velg ny gruppe.

Del tillatelser og NTFS tillatelse

I Windows er det to typer fil- og mappetillatelser, for det første er det delingstillatelser, og for det andre er det NTFS-tillatelser, også kalt sikkerhetstillatelser. Vær oppmerksom på at når du deler en mappe som standard, får "Alle" -gruppen lesetillatelse. Sikkerhet på mapper gjøres vanligvis med en kombinasjon av Del og NTFS Tillatelse hvis dette er tilfelle, er det viktig å huske at det mest restriktive alltid gjelder, for eksempel hvis delingstillatelsen er satt til Alle = Les (som er standard), men NTFS-tillatelsen tillater brukere å gjøre en endring i filen, vil delingstillatelsen ha preferanse og brukerne får ikke lov til å gjøre endringer. Når du angir tillatelsene, kontrollerer LSASS (Local Security Authority) tilgangen til ressursen. Når du logger på, får du et tilgangstoken med SID-en din, når du går for å få tilgang til ressursen, sammenligner LSASS SID-en som du la til i ACL (Access Control List), og hvis SID er på ACL, avgjør den om tillate eller nekte tilgang. Uansett hvilke tillatelser du bruker, er det forskjeller, så la oss ta en titt for å få en bedre forståelse av når vi skal bruke hva.

Del tillatelser:

  1. Gjelder bare brukere som har tilgang til ressursen via nettverket. De gjelder ikke hvis du logger på lokalt, for eksempel gjennom terminaltjenester.
  2. Det gjelder alle filer og mapper i den delte ressursen. Hvis du vil gi en mer detaljert begrensningsordning, bør du bruke NTFS Permission i tillegg til delte tillatelser
  3. Hvis du har noen FAT- eller FAT32-formaterte volumer, vil dette være den eneste begrensningsformen som er tilgjengelig for deg, ettersom NTFS-tillatelser ikke er tilgjengelige på disse filsystemene.

NTFS Tillatelser:

  1. Den eneste begrensningen for NTFS-tillatelser er at de bare kan settes på et volum som er formatert til NTFS-filsystemet
  2. Husk at NTFS er kumulative, noe som betyr at brukernes effektive tillatelser er resultatet av å kombinere brukerens tildelte tillatelser og tillatelsene til alle grupper brukeren tilhører.

The New Share Permissions

Windows 7 kjøpte en ny "enkel" teknikk for deling. Alternativene ble endret fra Les, Endre og Full kontroll til. Les og les / skriv. Ideen var en del av hele hjemmegruppens mentalitet og gjør det enkelt å dele en mappe for ikke-datakyndige mennesker. Dette gjøres via hurtigmenyen og deler det enkelt med hjemmegruppen.

Hvis du vil dele med noen som ikke er i hjemmegruppen, kan du alltid velge alternativet "Spesifikke personer ...". Noe som vil gi en mer ”forseggjort” dialog. Hvor du kan spesifisere en bestemt bruker eller gruppe.

Det er bare to tillatelser som tidligere nevnt, sammen tilbyr de en alt eller ingenting beskyttelsesordning for mappene og filene dine.

  1. Lese tillatelse er alternativet "se, ikke rør". Mottakerne kan åpne, men ikke endre eller slette en fil.
  2. Les Skriv er alternativet "gjør hva som helst". Mottakere kan åpne, endre eller slette en fil.

The Old School Way

Den gamle delingsdialogen hadde flere alternativer og ga oss muligheten til å dele mappen under et annet alias, det tillot oss å begrense antall samtidige tilkoblinger samt konfigurere caching. Ingen av denne funksjonaliteten går tapt i Windows 7, men er skjult under et alternativ som heter “Advanced Sharing”. Hvis du høyreklikker på en mappe og går til dens egenskaper, kan du finne disse "Avansert deling" -innstillingene under delingsfanen.

Hvis du klikker på “Avansert deling” -knappen, som krever lokal administratorlegitimasjon, kan du konfigurere alle innstillingene du var kjent med i tidligere versjoner av Windows.

Hvis du klikker på tillatelsesknappen, får du de tre innstillingene som vi alle er kjent med.

  1. Lese tillatelse lar deg se og åpne filer og underkataloger samt utføre applikasjoner. Det tillater imidlertid ingen endringer.
  2. Endre tillatelse lar deg gjøre alt som Lese tillatelse tillater det, det legger også til muligheten til å legge til filer og underkataloger, slette undermapper og endre data i filene.
  3. Full kontroll er "gjør hva som helst" av de klassiske tillatelsene, da det gjør det mulig for deg å gjøre alle tidligere tillatelser. I tillegg gir den deg avansert endring av NTFS-tillatelse, dette gjelder bare i NTFS-mapper

NTFS Tillatelser

NTFS Tillatelse tillater veldig detaljert kontroll over filer og mapper. Med det sagt kan mengden granularitet være skremmende for en nykommer. Du kan også angi NTFS-tillatelse per filbasis og per mappebasis. For å angi NTFS-tillatelse for en fil, bør du høyreklikke og gå til filegenskapene der du må gå til sikkerhetsfanen.

For å redigere NTFS-tillatelser for en bruker eller gruppe, klikk på redigeringsknappen.

Som du kanskje ser er det ganske mange NTFS-tillatelser, så la oss bryte dem ned. Først vil vi ta en titt på NTFS-tillatelsene du kan angi i en fil.

  1. Full kontroll lar deg lese, skrive, endre, utføre, endre attributter, tillatelser og ta eierskap til filen.
  2. Endre lar deg lese, skrive, endre, utføre og endre filens attributter.
  3. Les og utfør lar deg vise filens data, attributter, eier og tillatelser, og kjøre filen hvis den er et program.
  4. Lese vil tillate deg å åpne filen, vise attributter, eier og tillatelser.
  5. Skrive lar deg skrive data til filen, legge til filen og lese eller endre attributtene.

NTFS Tillatelser for mapper har litt forskjellige alternativer, så la oss ta en titt på dem.

  1. Full kontroll lar deg lese, skrive, endre og utføre filer i mappen, endre attributter, tillatelser og ta eierskap til mappen eller filene i.
  2. Endre lar deg lese, skrive, endre og utføre filer i mappen, og endre attributter til mappen eller filene i.
  3. Les og utfør vil tillate deg å vise mappens innhold og vise data, attributter, eier og tillatelser for filer i mappen, og kjøre filer i mappen.
  4. Liste mappeinnhold vil tillate deg å vise innholdet i mappen og vise data, attributter, eier og tillatelser for filer i mappen.
  5. Lese lar deg vise filens data, attributter, eier og tillatelser.
  6. Skrive lar deg skrive data til filen, legge til filen og lese eller endre attributtene.

Microsofts dokumentasjon sier også at "List Folder Contents" vil la deg utføre filer i mappen, men det må du fortsatt aktivere "Read & Execute" for å gjøre det. Det er en veldig forvirrende dokumentert tillatelse.

Sammendrag

Oppsummert er brukernavn og grupper representasjoner av en alfanumerisk streng kalt SID (Security Identifier), Share og NTFS Tillatelser er knyttet til disse SIDene. Deltillatelser kontrolleres bare av LSSAS når de er tilgjengelige via nettverket, mens NTFS-tillatelser bare er gyldige på de lokale maskinene. Jeg håper at dere alle har en god forståelse av hvordan fil- og mappesikkerhet i Windows 7 implementeres. Hvis du har spørsmål, kan du gjerne høres ut i kommentarene.

.post-innhold .inngangs-bunntekst

Introduction To File And Share Permissions In Windows Server 2012

File & Device Shareing Between Windows XP & Windows 7

How To Calculate Effective Folder Permissions In Windows Server 2016

How To "Drag And Drop" A File In Windows 7

Windows Server 2019 - NTFS Vs Share Permissions

Windows 7 File And Folder Access - Microsoft 70-680: 5.2

FreeNAS 11.3 Windows Shares / File Sharing Permissions & ACL Configurations.

Personvern og sikkerhet - Mest populære artikler

Slik ser du (og unngår) falske Android-apper i Play-butikken

Personvern og sikkerhet Feb 7, 2025

UCACHED INNHOLD Falske Android-apper i Play Store er et problem. Folk lager lister som er designet slik at de ser ut som populære apper, ofte med samme ikon og navn, for å lure ..

Slik blokkerer du anrop fra et bestemt nummer på en iPhone

Personvern og sikkerhet Sep 25, 2025

UCACHED INNHOLD Hvis du stadig ringer fra noen (noen) du ikke vil snakke med, er det beste du kan gjøre å blokkere dem. Det er noen forskjellige måter å gjøre dette på iPhon..

Hvordan finne serienummeret eller IMEI for din iPhone eller iPad

Personvern og sikkerhet Feb 13, 2025

UCACHED INNHOLD IOS-enheten din har flere numeriske identifikatorer tilknyttet. To av de viktigste er enhetens serienummer og International Mobile Station Equipment Ident..

Sikkerhetsrisikoen ved å låse opp Android-telefonens Bootloader

Personvern og sikkerhet Jun 20, 2025

UCACHED INNHOLD Android-geeks låser ofte opp bootloadere for å rotere enhetene sine og installere tilpassede ROM-er. Men det er en grunn til at enheter kommer med låste opplast..

Remote Desktop Roundup: TeamViewer vs. Splashtop vs. Windows RDP

Personvern og sikkerhet Dec 7, 2024

Det finnes en mengde eksterne desktop-løsninger på markedet, og det kan være vanskelig å velge den rette for dine behov. Ikke bekymre deg, men vi har gjort leggarbeidet for deg,..

Hvor sikkert er Windows utklippstavle?

Personvern og sikkerhet Aug 23, 2025

UCACHED INNHOLD Det er alltid en god ide å være bekymret for sikkerheten til dataene dine, spesielt når det gjelder påloggingsinformasjonen din for nettsteder. Med det i tanke..

Hvordan overbeviser du et familiemedlem om å oppgradere et gammelt (og muligens kompromittert) system?

Personvern og sikkerhet May 9, 2025

UCACHED INNHOLD Denne uken så vi Windows XPs EOL-dato, men likevel holder mange på den, og av og til enda eldre systemer fremdeles. Hvordan overbeviser du et sta familiemedlem o..

Geek School: Learning Windows 7 - Windows Firewall

Personvern og sikkerhet Mar 15, 2025

UCACHED INNHOLD Kom og bli med når vi gjør en verden til et tryggere sted ved hjelp av Windows-brannmuren i denne utgaven av Geek School. Husk å sjekke ut de forrige a..

Kategorier