Geek School: Læring Windows 7 - Ressurstilgang

Innholdsfortegnelse:

Geek School: Læring Windows 7 - Ressurstilgang
Geek School: Læring Windows 7 - Ressurstilgang

Video: Geek School: Læring Windows 7 - Ressurstilgang

Video: Geek School: Læring Windows 7 - Ressurstilgang
Video: Turn Off Microsoft Consumer Experience on Windows 10 - YouTube 2024, April
Anonim
I denne installasjonen av Geek School tar vi en titt på mappevirtualisering, SIDer og Tillatelse, samt krypteringsfilsystemet.
I denne installasjonen av Geek School tar vi en titt på mappevirtualisering, SIDer og Tillatelse, samt krypteringsfilsystemet.

Husk å sjekke ut de forrige artiklene i denne Geek School-serien på Windows 7:

  • Introduserer How-To Geek School
  • Oppgraderinger og overføringer
  • Konfigurere enheter
  • Administrere disker
  • Administrere applikasjoner
  • Administrere Internet Explorer
  • IP-adressering grunnleggende
  • Nettverk
  • Trådløst nettverk
  • Windows brannmur
  • Fjernadministrasjon
  • Fjerntilgang
  • Overvåking, ytelse og vedlikehold av Windows

Og hold deg innstilt for resten av serien hele denne uken.

Mapp virtualisering

Windows 7 introduserte begrepet biblioteker som tillot at du har en sentralisert plassering som du kan se ressurser på andre steder på datamaskinen din. Mer spesifikt har biblioteksfunksjonen tillat deg å legge til mapper fra hvor som helst på datamaskinen til en av fire standardbiblioteker, Dokumenter, Musikk, Videoer og Bilder, som er lett tilgjengelige fra navigasjonsruten i Windows Utforsker.

Det er to viktige ting å merke seg om bibliotekets funksjon:
Det er to viktige ting å merke seg om bibliotekets funksjon:
  • Når du legger til en mappe i et bibliotek, flyttes ikke mappen i seg selv, men en lenke blir opprettet til mappenes plassering.
  • For å kunne legge til en nettverksandel til bibliotekene dine må den være tilgjengelig offline, men du kan også bruke et arbeid rundt med symbolske linker.

For å legge til en mappe i et bibliotek, bare hodet inn i biblioteket og klikk på stedslinken.

Klikk deretter på add-knappen.
Klikk deretter på add-knappen.
Finn nå mappen du vil inkludere i biblioteket, og klikk på Inkluder mappeknappen.
Finn nå mappen du vil inkludere i biblioteket, og klikk på Inkluder mappeknappen.
Det er alt der er til det.
Det er alt der er til det.
Image
Image

Sikkerhetsidentifikatoren

Windows-operativsystemet bruker SID-er til å representere alle sikkerhetsprinsipper. SIDer er bare strenger med variabel lengde med alfanumeriske tegn som representerer maskiner, brukere og grupper. SID legges til ACL (Access Control Lists) hver gang du gir en bruker eller gruppe tillatelse til en fil eller mappe. Bak kulissene lagres SID-er på samme måte som alle andre dataobjekter er: i binære. Når du ser et SID i Windows, vises det imidlertid med en mer lesbar syntaks. Det er ikke ofte at du vil se noen form for SID i Windows; Det vanligste scenariet er når du gir noen tillatelse til en ressurs, og deretter slett brukerkontoen sin. SID vil da dukke opp i ACL. Så kan vi se på det typiske formatet der du vil se SIDer i Windows.

Notasjonen som du vil se tar en viss syntaks. Nedenfor er de forskjellige delene av et SID.
Notasjonen som du vil se tar en viss syntaks. Nedenfor er de forskjellige delene av et SID.
  • Et 'S' prefiks
  • Strukturrevisjonsnummer
  • En 48-biters identifiserings autorisasjonsverdi
  • Et variabelt antall 32-biters sub-autorisasjon eller relative identifikator (RID) -verdier

Ved å bruke mitt SID i bildet nedenfor, vil vi bryte opp de forskjellige seksjonene for å få en bedre forståelse.

Image
Image

The SID Structure:

‘S’ – The first component of a SID is always an ‘S’. This is prefixed to all SIDs and is there to inform Windows that what follows is a SID. ’1′ – The second component of a SID is the revision number of the SID specification. If the SID specification was to change it would provide backwards compatibility. As of Windows 7 and Server 2008 R2, the SID specification is still in the first revision. ’5′ – The third section of a SID is called the Identifier Authority. This defines in what scope the SID was generated. Possible values for this sections of the SID can be:

  • 0 – Null Authority
  • 1 – World Authority
  • 2 – Local Authority
  • 3 – Creator Authority
  • 4 – Non-unique Authority
  • 5 – NT Authority

’21′ – The fourth component is sub-authority 1. The value ’21′ is used in the fourth field to specify that the sub-authorities that follow identify the Local Machine or the Domain. ’1206375286-251249764-2214032401′ – These are called sub-authority 2,3 and 4 respectively. In our example this is used to identify the local machine, but could also be the the identifier for a Domain. ’1000′ – Sub-authority 5 is the last component in our SID and is called the RID (Relative Identifier). The RID is relative to each security principle: please note that any user defined objects, the ones that are not shipped by Microsoft, will have a RID of 1000 or greater.

Sikkerhetsprinsipper

Et sikkerhetsprinsipp er alt som har et SID knyttet til det. Disse kan være brukere, datamaskiner og like grupper. Sikkerhetsprinsipper kan være lokale eller være i domenekonteksten. Du håndterer lokale sikkerhetsprinsipper ved hjelp av Local Users og Groups snap-in, under datamaskinhåndtering. For å komme dit, høyreklikk på datask snarveien i startmenyen og velg administrere.

For å legge til et nytt brukssikkerhetsprinsipp, kan du gå til Brukere-mappen og høyreklikke og velge Ny bruker.
For å legge til et nytt brukssikkerhetsprinsipp, kan du gå til Brukere-mappen og høyreklikke og velge Ny bruker.
Hvis du dobbeltklikker på en bruker, kan du legge dem til en sikkerhetsgruppe på fanen Medlem av.
Hvis du dobbeltklikker på en bruker, kan du legge dem til en sikkerhetsgruppe på fanen Medlem av.
For å opprette en ny sikkerhetsgruppe, naviger til mappen Grupper på høyre side. Høyreklikk på den hvite plassen og velg Ny gruppe.
For å opprette en ny sikkerhetsgruppe, naviger til mappen Grupper på høyre side. Høyreklikk på den hvite plassen og velg Ny gruppe.
Image
Image

Del Tillatelser og NTFS Tillatelse

I Windows er det to typer fil- og mappegodkjenninger. For det første er det Del Tillatelsene. For det andre er det NTFS-tillatelser, som også kalles sikkerhetsstillatelser. Sikring av delte mapper utføres vanligvis med en kombinasjon av Del og NTFS Tillatelser. Siden dette er tilfelle, er det viktig å huske at den mest restriktive tillatelsen alltid gjelder. Hvis for eksempel aksje-tillatelsen gir alle sikkerhetsprinsippene lest tillatelse, men NTFS-tillatelsen tillater brukere å gjøre en endring i filen, vil aksje tillatelsen ha forrang, og brukerne får ikke lov til å gjøre endringer. Når du angir tillatelsene, kontrollerer LSASS (Local Security Authority) tilgang til ressursen. Når du logger på, får du et tilgangstoken med ditt SID på den. Når du går for å få tilgang til ressursen, sammenligner LSASS SID som du har lagt til i ACL (Access Control List). Hvis SID er på ACL, bestemmer det om å tillate eller nekte tilgang. Uansett hvilke tillatelser du bruker, er det forskjeller, så la oss ta en titt for å få en bedre forståelse av når vi skal bruke det.

Del Tillatelser:

  • Gjelder kun brukere som har tilgang til ressursen over nettverket. De gjelder ikke hvis du logger deg på lokalt, for eksempel gjennom terminaltjenester.
  • Den gjelder for alle filer og mapper i den delte ressursen. Hvis du vil gi en mer granulert form for restriksjoner, bør du bruke NTFS-tillatelse i tillegg til delte tillatelser
  • Hvis du har noen formaterte FAT- eller FAT32-volumer, vil dette være den eneste form for begrensning som er tilgjengelig for deg, da NTFS-tillatelser ikke er tilgjengelige på disse filsystemene.

NTFS Tillatelser:

  • Den eneste begrensningen på NTFS-tillatelser er at de bare kan settes på et volum som er formatert til NTFS-filsystemet
  • Husk at NTFS-tillatelser er kumulative.Det betyr at en brukers effektive tillatelser er resultatet av å kombinere brukerens tildelte tillatelser og tillatelsene til alle grupper brukeren tilhører.

The New Share Tillatelser

Windows 7 kjøpt sammen med en ny "enkel" delteknikk. Alternativene endret fra Les, Endre og Full kontroll til Les og Les / Skriv. Ideen var en del av hele hjemmegruppens mentalitet og gjør det enkelt å dele en mappe for ikke-datamaskinerte folk. Dette gjøres via kontekstmenyen og deler enkelt med hjemmegruppen din.

Hvis du vil dele med noen som ikke er i hjemmegruppen, kan du alltid velge alternativet "Spesifikt folk …". Som ville gi opp en mer utførlig dialog hvor du kunne spesifisere en bruker eller gruppe.
Hvis du vil dele med noen som ikke er i hjemmegruppen, kan du alltid velge alternativet "Spesifikt folk …". Som ville gi opp en mer utførlig dialog hvor du kunne spesifisere en bruker eller gruppe.
Det er bare to tillatelser, som tidligere nevnt. Sammen tilbyr de et helt eller ingenting beskyttelsesprogram for mappene og filene dine.
Det er bare to tillatelser, som tidligere nevnt. Sammen tilbyr de et helt eller ingenting beskyttelsesprogram for mappene og filene dine.
  1. Read permission is the “look, don’t touch” option. Recipients can open, but not modify or delete a file.
  2. Read/Write is the “do anything” option. Recipients can open, modify, or delete a file.

Gammel skole Tillatelse

Den gamle delingsdialogen hadde flere alternativer, for eksempel muligheten til å dele mappen under et annet alias. Det tillot oss å begrense antall samtidige tilkoblinger samt konfigurere caching. Ingen av denne funksjonaliteten går tapt i Windows 7, men er gjemt under et alternativ kalt "Avansert deling". Hvis du høyreklikker på en mappe og går til sine egenskaper, kan du finne disse innstillingene "Advanced Sharing" under kategorien Deling.

Hvis du klikker på "Avansert deling" -knappen, som krever lokale administratorlegitimasjonsbeskrivelser, kan du konfigurere alle innstillingene du var kjent med i tidligere versjoner av Windows.
Hvis du klikker på "Avansert deling" -knappen, som krever lokale administratorlegitimasjonsbeskrivelser, kan du konfigurere alle innstillingene du var kjent med i tidligere versjoner av Windows.
Hvis du klikker på tillatelsesknappen, vil du bli presentert med de tre innstillingene som vi alle er kjent med.
Hvis du klikker på tillatelsesknappen, vil du bli presentert med de tre innstillingene som vi alle er kjent med.
Image
Image
    • Lese Tillatelse tillater deg å vise og åpne filer og underkataloger samt å utføre programmer. Men det tillater ikke at noen endringer gjøres.
    • endre Tillatelse tillater deg å gjøre alt det Lese Tillatelse tillater det, og det legger også muligheten til å legge til filer og underkataloger, slette undermapper og endre data i filene.
    • Full kontroll er "gjør noe" av de klassiske tillatelsene, da det gjør det mulig for deg å gjøre alle de forrige tillatelsene. I tillegg gir den deg den avanserte endrede NTFS-tillatelsen, men dette gjelder bare for NTFS-mapper

NTFS-tillatelser

NTFS Tillatelser tillater veldig granulær kontroll over dine filer og mapper. Med det sagt kan mengden av granularitet være skremmende for en nykommer. Du kan også angi NTFS-tillatelse på per filbasis samt per mappegrunnlag. Hvis du vil angi NTFS-tillatelse til en fil, bør du høyreklikke og gå til filens egenskaper, og deretter gå til sikkerhetsfanen.

Hvis du vil redigere NTFS-tillatelsene for en bruker eller gruppe, klikker du på redigeringsknappen.
Hvis du vil redigere NTFS-tillatelsene for en bruker eller gruppe, klikker du på redigeringsknappen.
Som du kanskje ser, er det ganske mange NTFS-tillatelser, så la oss slå dem ned. Først vil vi se på NTFS-tillatelsene som du kan angi på en fil.
Som du kanskje ser, er det ganske mange NTFS-tillatelser, så la oss slå dem ned. Først vil vi se på NTFS-tillatelsene som du kan angi på en fil.
  • Full Control allows you to read, write, modify, execute, change attributes, permissions, and take ownership of the file.
  • Modify allows you to read, write, modify, execute, and change the file’s attributes.
  • Read & Execute will allow you to display the file’s data, attributes, owner, and permissions, and run the file if it’s a program.
  • Read will allow you to open the file, view its attributes, owner, and permissions.
  • Write will allow you to write data to the file, append to the file, and read or change its attributes.

NTFS-tillatelser for mapper har litt forskjellige alternativer, så vi kan se på dem.

Image
Image
  • Full Control will allow you to read, write, modify, and execute files in the folder, change attributes, permissions, and take ownership of the folder or files within.
  • Modify will allow you to read, write, modify, and execute files in the folder, and change attributes of the folder or files within.
  • Read & Execute will allow you to display the folder’s contents and display the data, attributes, owner, and permissions for files within the folder, and run files within the folder.
  • List Folder Contents will allow you to display the folder’s contents and display the data, attributes, owner, and permissions for files within the folder, and run files within the folder
  • Read will allow you to display the file’s data, attributes, owner, and permissions.
  • Write will allow you to write data to the file, append to the file, and read or change its attributes.

Sammendrag

Sammendrag, brukernavn og grupper er representasjoner av en alfanumerisk streng kalt SID (sikkerhetsidentifikator). Del og NTFS Tillatelser er knyttet til disse SIDene. Del Tillatelser kontrolleres kun av LSSAS når de blir åpnet over nettverket, mens NTFS Tillatelser er kombinert med Del Tillatelser for å tillate et mer granulert sikkerhetsnivå for at ressurser blir tilgjengelige over nettverket, så vel som lokalt.

Å få tilgang til en delt ressurs

Så nå som vi har lært om de to metodene vi kan bruke til å dele innhold på våre PCer, hvordan går det faktisk om å få tilgang til det over nettverket? Det er veldig enkelt. Skriv bare inn følgende i navigeringsfeltet.

computernamesharename

Merk: Du må selvsagt erstatte datamaskinnavn for navnet på PCen som serverer del og sharenavn for navnet på aksjen.

Dette er flott for en gang av forbindelser, men hva med et større bedriftsmiljø? Sikkert må du ikke lære brukerne hvordan du kobler til en nettverksressurs ved hjelp av denne metoden. For å komme seg rundt dette, vil du kartlegge en nettverksstasjon for hver bruker, slik at du kan råde dem til å lagre dokumentene sine på "H" -disken, i stedet for å forklare hvordan du kobler til en del. For å kartlegge en stasjon, åpne Computer og klikk på "Map Network Drive" -knappen.
Dette er flott for en gang av forbindelser, men hva med et større bedriftsmiljø? Sikkert må du ikke lære brukerne hvordan du kobler til en nettverksressurs ved hjelp av denne metoden. For å komme seg rundt dette, vil du kartlegge en nettverksstasjon for hver bruker, slik at du kan råde dem til å lagre dokumentene sine på "H" -disken, i stedet for å forklare hvordan du kobler til en del. For å kartlegge en stasjon, åpne Computer og klikk på "Map Network Drive" -knappen.
Skriv deretter bare inn UNC-banen til delen.
Skriv deretter bare inn UNC-banen til delen.
Du lurer sikkert på om du må gjøre det på alle PCer, og heldigvis er svaret nei. Snarere kan du skrive et batchskript for automatisk å kartlegge stasjonene for brukerne dine ved pålogging og distribuere det via gruppepolicy.
Du lurer sikkert på om du må gjøre det på alle PCer, og heldigvis er svaret nei. Snarere kan du skrive et batchskript for automatisk å kartlegge stasjonene for brukerne dine ved pålogging og distribuere det via gruppepolicy.
Hvis vi dissekerer kommandoen:
Hvis vi dissekerer kommandoen:
  • Vi bruker nettbruk kommandoen for å kartlegge stasjonen.
  • Vi bruker * å betegne at vi vil bruke neste tilgjengelige stasjonsbokstav.
  • Endelig vi spesifiser aksjen Vi ønsker å kartlegge stasjonen til. Legg merke til at vi brukte sitater fordi UNC-banen inneholder mellomrom.
Image
Image

Kryptere filer ved hjelp av krypteringsfilsystemet

Windows inkluderer muligheten til å kryptere filer på et NTFS-volum. Dette betyr at bare du vil kunne dekryptere filene og vise dem. For å kryptere en fil, rett høyreklikk på den og velg egenskaper fra kontekstmenyen.

Klikk deretter på avansert.
Klikk deretter på avansert.
Merk av for krypteringsinnholdet for å sikre data, og klikk deretter OK.
Merk av for krypteringsinnholdet for å sikre data, og klikk deretter OK.
Gå nå og bruk innstillingene.
Gå nå og bruk innstillingene.
Vi trenger bare å kryptere filen, men du har også mulighet til å kryptere den overordnede mappen også.
Vi trenger bare å kryptere filen, men du har også mulighet til å kryptere den overordnede mappen også.
Vær oppmerksom på at når filen er kryptert, blir den grønn.
Vær oppmerksom på at når filen er kryptert, blir den grønn.
Du vil nå legge merke til at bare du vil kunne åpne filen og at andre brukere på samme PC ikke vil kunne.Krypteringsprosessen bruker offentlig nøkkelkryptering, så hold krypteringsnøklene dine trygge. Hvis du mister dem, er filen borte og det er ingen måte å gjenopprette den.
Du vil nå legge merke til at bare du vil kunne åpne filen og at andre brukere på samme PC ikke vil kunne.Krypteringsprosessen bruker offentlig nøkkelkryptering, så hold krypteringsnøklene dine trygge. Hvis du mister dem, er filen borte og det er ingen måte å gjenopprette den.

Hjemmelekser

  • Lær om tillatelse arv og effektive tillatelser.
  • Les dette Microsoft-dokumentet.
  • Lær hvorfor du vil bruke BranchCache.
  • Lær hvordan du deler skrivere og hvorfor du vil.

Anbefalt:

Geek School: Læring Windows 7 - Overvåking, ytelse og vedlikehold av Windows

Geek School: Læring Windows 7 - Overvåking, ytelse og vedlikehold av Windows

I dagens utgave av Geek School ser vi på verktøyene vi kan bruke til å overvåke ytelsen og påliteligheten til våre datamaskiner.

Geek School: Læring Windows 7 - Fjerntilgang

Geek School: Læring Windows 7 - Fjerntilgang

I den siste delen av serien så vi på hvordan du kan administrere og bruke Windows-datamaskiner fra hvor som helst så lenge du er på samme nettverk. Men hva om du ikke er?

Geek School: Læring Windows 7 - Fjernadministrasjon

Geek School: Læring Windows 7 - Fjernadministrasjon

I denne installasjonen av Geek School ser vi på hvordan vi kan administrere våre maskiner eksternt ved hjelp av Fjernhjelp, Eksternt skrivebord, Windows Remote Management, også kjent som WinRM og PowerShell.

Geek School: Læring Windows 7 - Windows Firewall

Geek School: Læring Windows 7 - Windows Firewall

Kom og bli med oss da vi gjør verden til et tryggere sted ved hjelp av vår Windows-brannmur i denne utgaven av Geek School.

Geek School: Læring Windows 7 - Trådløst nettverk

Geek School: Læring Windows 7 - Trådløst nettverk

I de to siste artiklene så vi på hvordan du klargjør din PC for nettverksadgang. I denne delen skal vi se på konfigurasjonen av trådløst nettverk.