Geek School: Învățarea Windows 7 - Acces la resurse

CONȚINUTUL NECACHAT

În această instalare a Geek School, ne uităm la virtualizarea folderelor, SID-urile și permisiunea, precum și la sistemul de fișiere de criptare.

Asigurați-vă că consultați articolele anterioare din această serie Geek School pe Windows 7:

• Vă prezentăm How-To Geek School
• Actualizări și migrații
• Configurarea dispozitivelor
• Gestionarea discurilor
• Gestionarea aplicațiilor
• Gestionarea Internet Explorer
• Fundamentele de adresare IP
• Rețele
• Rețea fără fir
• Paravan de protecție Windows
• Administrare la distanță
• Acces de la distanță
• Monitorizarea, performanța și actualizarea Windows

Și rămâneți la curent cu restul seriei toată săptămâna asta.

Virtualizarea folderelor

Windows 7 a introdus noțiunea de biblioteci care vă permitea să aveți o locație centralizată din care să puteți vizualiza resurse situate în altă parte pe computer. Mai precis, funcția de biblioteci vă permite să adăugați foldere de oriunde de pe computer la una dintre cele patru biblioteci implicite, Documente, muzică, videoclipuri și imagini, care sunt ușor accesibile din panoul de navigare din Windows Explorer.

Există două lucruri importante de remarcat despre caracteristica bibliotecii:

• Când adăugați un folder la o bibliotecă, folderul în sine nu se mișcă, ci mai degrabă se creează un link către locația folderului.
• Pentru a adăuga o partajare de rețea în bibliotecile dvs., aceasta trebuie să fie disponibilă offline, deși puteți utiliza, de asemenea, o rezolvare folosind linkuri simbolice.

Pentru a adăuga un folder într-o bibliotecă, pur și simplu mergeți în bibliotecă și faceți clic pe linkul locații.

Apoi faceți clic pe butonul Adăugați.

Acum găsiți folderul pe care doriți să îl includeți în bibliotecă și faceți clic pe butonul Include folder.

Cam despre asta e.

Identificatorul de securitate

Sistemul de operare Windows utilizează SID-uri pentru a reprezenta toate principiile de securitate. SID-urile sunt doar șiruri de lungime variabilă de caractere alfanumerice care reprezintă mașini, utilizatori și grupuri. SID-urile sunt adăugate la ACL-uri (Liste de control acces) de fiecare dată când acordați unui utilizator sau unui grup permisiunea unui fișier sau folder. În culise, SID-urile sunt stocate în același mod în care toate celelalte obiecte de date sunt: ​​în binar. Cu toate acestea, când vedeți un SID în Windows, acesta va fi afișat folosind o sintaxă mai lizibilă. Nu de multe ori veți vedea nicio formă de SID în Windows; cel mai frecvent scenariu este atunci când acordați cuiva permisiunea unei resurse, apoi ștergeți contul de utilizator. SID va apărea apoi în ACL. Deci, să aruncăm o privire la formatul tipic în care veți vedea SID-uri în Windows.

Notarea pe care o veți vedea ia o anumită sintaxă. Mai jos sunt diferitele părți ale unui SID.

• Un prefix „S”
• Numărul revizuirii structurii
• O valoare de autoritate de identificare pe 48 de biți
• Un număr variabil de valori sub-autoritate pe 32 de biți sau identificator relativ (RID)

Folosind SID-ul meu în imaginea de mai jos vom împărți diferitele secțiuni pentru a înțelege mai bine.

Structura SID:

„S” - Prima componentă a unui SID este întotdeauna un „S”. Acesta este prefixat la toate SID-urile și este acolo pentru a informa Windows că ceea ce urmează este un SID.
’1′ - A doua componentă a unui SID este numărul de revizuire al specificației SID. Dacă specificația SID ar fi modificată, aceasta ar oferi compatibilitate inversă. Începând cu Windows 7 și Server 2008 R2, specificația SID este încă în prima revizuire.
’5′ - A treia secțiune a unui SID se numește autoritatea de identificare. Aceasta definește în ce domeniu a fost generat SID. Valorile posibile pentru aceste secțiuni ale SID pot fi:

• 0 - Autoritate nulă
• 1 - Autoritatea Mondială
• 2 - Autoritatea locală
• 3 - Autoritatea Creatorului
• 4 - Autoritate non-unică
• 5 - Autoritatea NT

’21′ - A patra componentă este subautoritatea 1. Valoarea „21 ′ este utilizată în al patrulea câmp pentru a specifica că subautoritățile care urmează identifică mașina locală sau domeniul.
’1206375286-251249764-2214032401′ - Acestea sunt numite sub-autoritate 2,3 și respectiv 4. În exemplul nostru, acesta este folosit pentru a identifica mașina locală, dar ar putea fi și identificatorul unui domeniu.
’1000′ - Subautoritatea 5 este ultima componentă din SID-ul nostru și se numește RID (Identificativ relativ). RID este relativ la fiecare principiu de securitate: vă rugăm să rețineți că orice obiecte definite de utilizator, cele care nu sunt livrate de Microsoft, vor avea un RID de 1000 sau mai mare.

Principii de securitate

Un principiu de securitate este tot ce are atașat un SID. Acestea pot fi utilizatori, computere și chiar grupuri. Principiile de securitate pot fi locale sau pot fi în contextul domeniului. Gestionați principiile de securitate locale prin intermediul snap-in-ului Utilizatori și grupuri locale, sub gestionarea computerului. Pentru a ajunge acolo, faceți clic dreapta pe comanda rapidă a computerului din meniul Start și alegeți gestionare.

Pentru a adăuga un nou principiu de securitate a utilizatorului, puteți accesa folderul Utilizatori și faceți clic dreapta și alegeți Utilizator nou.

Dacă faceți dublu clic pe un utilizator, îl puteți adăuga la un grup de securitate din fila Membru.

Pentru a crea un nou grup de securitate, navigați la folderul Grupuri din partea dreaptă. Faceți clic dreapta pe spațiul alb și selectați Grup nou.

Permisiuni de partajare și permisiune NTFS

În Windows există două tipuri de permisiuni pentru fișiere și foldere. În primul rând, există permisiunile de distribuire. În al doilea rând, există permisiuni NTFS, care se mai numesc și permisiuni de securitate. Securizarea folderelor partajate se face de obicei cu o combinație de permisiuni Share și NTFS. Deoarece acesta este cazul, este esențial să ne amintim că se aplică întotdeauna permisiunea cea mai restrictivă. De exemplu, dacă permisiunea de partajare oferă principiului de securitate Toată lumea permisiunea de citire, dar permisiunea NTFS permite utilizatorilor să modifice fișierul, permisiunea de partajare va avea prioritate, iar utilizatorii nu vor avea voie să facă modificări. Când setați permisiunile, LSASS (Autoritatea de securitate locală) controlează accesul la resursă. Când vă conectați, vi se oferă un jeton de acces cu SID-ul pe acesta. Când accesați resursa, LSASS compară SID-ul pe care l-ați adăugat la ACL (Access Control List). Dacă SID se află pe ACL, acesta determină dacă să permită sau să refuze accesul. Indiferent de permisiunile pe care le utilizați, există diferențe, așa că să aruncăm o privire pentru a înțelege mai bine când ar trebui să folosim ce.

Permisiuni de distribuire:

• Se aplică numai utilizatorilor care accesează resursa prin rețea. Acestea nu se aplică dacă vă conectați la nivel local, de exemplu prin intermediul serviciilor de terminal.
• Se aplică tuturor fișierelor și folderelor din resursa partajată. Dacă doriți să furnizați un tip mai granular de schemă de restricție, ar trebui să utilizați permisiunea NTFS în plus față de permisiunile partajate
• Dacă aveți volume formatate FAT sau FAT32, aceasta va fi singura formă de restricție disponibilă pentru dvs., deoarece permisiunile NTFS nu sunt disponibile pe aceste sisteme de fișiere.

Permisiuni NTFS:

• Singura restricție privind permisiunile NTFS este că acestea pot fi setate numai pe un volum formatat la sistemul de fișiere NTFS
• Amintiți-vă că permisiunile NTFS sunt cumulative. Aceasta înseamnă că permisiunile efective ale unui utilizator sunt rezultatul combinării permisiunilor atribuite utilizatorului și a permisiunilor oricărui grup din care aparține utilizatorul.

Noile permisiuni de distribuire

Windows 7 a cumpărat o nouă tehnică de partajare „ușoară”. Opțiunile s-au schimbat din Citire, Modificare și Control complet în Citire și Citire / Scriere. Ideea a făcut parte din mentalitatea întregului grup de acasă și o face ușor să împărtășească un dosar pentru persoanele care nu sunt alfabetizate în domeniul computerului. Acest lucru se face prin meniul contextual și se partajează cu grupul dvs. de acasă cu ușurință.

Dacă doriți să partajați cu cineva care nu face parte din grupul de acasă, puteți alege întotdeauna opțiunea „Persoane specifice ...”. Ceea ce ar aduce un dialog mai „elaborat” în care ați putea specifica un utilizator sau un grup.

Există doar două permisiuni, așa cum am menționat anterior. Împreună, oferă o schemă de protecție pentru toate sau nimic pentru folderele și fișierele dvs.

1. Citit permisiunea este opțiunea „căutați, nu atingeți”. Destinatarii pot deschide, dar nu modifica sau șterge un fișier.
2. Citeste, scrie este opțiunea „face orice”. Destinatarii pot deschide, modifica sau șterge un fișier.

Permisul Old School

Vechiul dialog de partajare avea mai multe opțiuni, cum ar fi opțiunea de a partaja folderul sub un alias diferit. Ne-a permis să limităm numărul de conexiuni simultane, precum și să configurăm cache-ul. Niciuna dintre aceste funcționalități nu se pierde în Windows 7, ci mai degrabă este ascunsă sub o opțiune numită „Advanced Sharing”. Dacă faceți clic dreapta pe un folder și accesați proprietățile acestuia, puteți găsi aceste setări „Advanced Sharing” în fila Partajare.

Dacă faceți clic pe butonul „Partajare avansată”, care necesită acreditări de administrator local, puteți configura toate setările cu care erați familiarizați în versiunile anterioare de Windows.

Dacă faceți clic pe butonul de permisiuni, vi se vor prezenta cele 3 setări pe care le cunoaștem cu toții.

• Citit permisiunea vă permite să vizualizați și să deschideți fișiere și subdirectoare, precum și să executați aplicații. Cu toate acestea, nu permite modificări.
• Modifica permisiunea vă permite să faceți orice Citit permisiunea permite și adaugă, de asemenea, posibilitatea de a adăuga fișiere și subdirectoare, de a șterge subfoldere și de a modifica datele din fișiere.
• Control total este „faceți orice” din permisiunile clasice, deoarece vă permite să faceți oricare și toate permisiunile anterioare. În plus, vă oferă permisiunea NTFS de schimbare avansată, dar acest lucru se aplică numai în folderele NTFS

Permisiuni NTFS

Permisiunile NTFS permit un control foarte detaliat asupra fișierelor și folderelor. Cu toate acestea, cantitatea de granularitate poate fi descurajantă pentru un nou venit. De asemenea, puteți seta permisiunea NTFS pe bază de fișier, precum și pe bază de fișier. Pentru a seta permisiunea NTFS pe un fișier, trebuie să faceți clic dreapta și să accesați proprietățile fișierului, apoi să accesați fila de securitate.

Pentru a edita permisiunile NTFS pentru un utilizator sau un grup, faceți clic pe butonul de editare.

După cum puteți vedea, există destul de multe permisiuni NTFS, așa că să le descompunem. În primul rând, vom arunca o privire asupra permisiunilor NTFS pe care le puteți seta într-un fișier.

• Control total vă permite să citiți, să scrieți, să modificați, să executați, să modificați atributele, permisiunile și să preluați proprietatea asupra fișierului.
• Modifica vă permite să citiți, să scrieți, să modificați, să executați și să modificați atributele fișierului.
• Citiți și executați vă va permite să afișați datele, atributele, proprietarul și permisiunile fișierului și să rulați fișierul dacă este un program.
• Citit vă va permite să deschideți fișierul, să îi vizualizați atributele, proprietarul și permisiunile.
• Scrie vă va permite să scrieți date în fișier, să le atașați și să citiți sau să modificați atributele acestuia.

Permisiunile NTFS pentru foldere au opțiuni ușor diferite, deci să le aruncăm o privire.

• Control total vă va permite să citiți, să scrieți, să modificați și să executați fișiere în dosar, să modificați atributele, permisiunile și să preluați proprietatea dosarului sau a fișierelor din interior.
• Modifica vă va permite să citiți, să scrieți, să modificați și să executați fișiere în folder și să modificați atributele folderului sau fișierelor din interior.
• Citiți și executați vă va permite să afișați conținutul folderului și să afișați datele, atributele, proprietarul și permisiunile pentru fișierele din dosar și să rulați fișiere în dosar.
• Lista conținutului dosarului vă va permite să afișați conținutul folderului și să afișați datele, atributele, proprietarul și permisiunile pentru fișierele din dosar și să rulați fișiere în dosar
• Citit vă va permite să afișați datele, atributele, proprietarul și permisiunile fișierului.
• Scrie vă va permite să scrieți date în fișier, să le atașați și să citiți sau să modificați atributele acestuia.

rezumat

În rezumat, numele și grupurile de utilizatori sunt reprezentări ale unui șir alfanumeric numit SID (Security Identifier). Permisiunile de partajare și NTFS sunt legate de aceste SID-uri. Permisiunile de partajare sunt verificate de LSSAS numai atunci când sunt accesate prin rețea, în timp ce permisiunile NTFS sunt combinate cu permisiunile de partajare pentru a permite un nivel mai granular de securitate pentru resursele care sunt accesate atât în ​​rețea, cât și local.

Accesarea unei resurse partajate

Deci, acum, după ce am aflat despre cele două metode pe care le putem folosi pentru a partaja conținut pe computerele noastre, cum faceți efectiv accesarea acestuia prin rețea? Este foarte simplu. Tastați următoarele în bara de navigare.

\\ computername \ sharename

Notă: Evident, va trebui să înlocuiți numele computerului cu numele computerului care găzduiește partajarea și numele de partajare cu numele partajării.

Acest lucru este minunat pentru o dată în afara conexiunilor, dar ce se întâmplă într-un mediu corporativ mai mare? Cu siguranță nu trebuie să vă învățați utilizatorii cum să se conecteze la o resursă de rețea folosind această metodă. Pentru a evita acest lucru, veți dori să mapați o unitate de rețea pentru fiecare utilizator, în acest fel îi puteți sfătui să-și stocheze documentele pe unitatea „H”, mai degrabă decât să încercați să explicați cum să vă conectați la o partajare. Pentru a mapa o unitate, deschideți Computer și faceți clic pe butonul „Hartă unitate de rețea”.

Apoi introduceți pur și simplu calea UNC a partajării.

Probabil că vă întrebați dacă trebuie să faceți asta pe fiecare computer și, din fericire, răspunsul este nu. Mai degrabă, puteți scrie un script batch pentru a mapa automat unitățile pentru utilizatorii dvs. la conectare și a-l implementa prin intermediul politicii de grup.

Dacă disecăm comanda:

• Folosim utilizare netă comanda pentru maparea unității.
• Noi folosim * pentru a indica faptul că dorim să folosim următoarea literă de unitate disponibilă.
• În cele din urmă noi specifică cota vrem să mapăm unitatea. Observați că am folosit ghilimele deoarece calea UNC conține spații.

Criptarea fișierelor utilizând sistemul de criptare a fișierelor

Windows include posibilitatea de a cripta fișiere pe un volum NTFS. Aceasta înseamnă că numai dvs. veți putea decripta fișierele și le puteți vizualiza. Pentru a cripta un fișier, faceți clic dreapta pe acesta și selectați proprietăți din meniul contextual.

Apoi faceți clic pe avansat.

Acum bifați caseta de selectare Criptare conținut pentru securizarea datelor, apoi faceți clic pe OK.

Acum mergeți mai departe și aplicați setările.

Trebuie doar să criptăm fișierul, dar aveți opțiunea de a cripta și dosarul părinte.

Rețineți că, odată ce fișierul este criptat, acesta devine verde.

Acum veți observa că numai dvs. veți putea deschide fișierul și că ceilalți utilizatori de pe același computer nu vor putea. Procesul de criptare se folosește criptarea cheii publice , deci păstrați cheile de criptare în siguranță. Dacă le pierdeți, fișierul dvs. a dispărut și nu există nicio modalitate de a-l recupera.

Teme pentru acasă

• Aflați despre moștenirea permisiunilor și permisiunile efective.
• Citit acest Document Microsoft.
• Aflați de ce ați dori să utilizați BranchCache.
• Aflați cum să partajați imprimante și de ce doriți.