Geek School: Învățarea Windows 7 - Acces la resurse

În această instalare a Școlii Geek, ne uităm la virtualizarea dosarelor, SID-urile și permisiunile, precum și la sistemul de criptare a fișierelor.

Asigurați-vă că verificați articolele anterioare din seria Geek School din Windows 7:

• Introducerea How-To Geek School
• Upgrade-uri și migrații
• Configurarea dispozitivelor
• Gestionarea discurilor
• Gestionarea aplicațiilor
• Gestionarea Internet Explorer
• Adresarea bazei de date fundamentale
• Rețele
• Rețea fără fir
• Windows Firewall
• Administrare la distanță
• Acces de la distanță
• Monitorizarea, performanța și păstrarea Windows până în prezent

Și stați liniștiți pentru restul seriei toată săptămâna aceasta.

Virtualizarea folderelor

Windows 7 a introdus noțiunea de biblioteci care vă permite să aveți o locație centralizată din care să puteți vedea resursele situate în altă parte a calculatorului dvs. Mai specific, caracteristica bibliotecilor vă permite să adăugați directoare din orice locație de pe computer la una din cele patru biblioteci implicite, Documente, Muzică, Video și Imagini, ușor accesibile din panoul de navigare al Windows Explorer.

Există două lucruri importante pe care trebuie să le notați despre caracteristica bibliotecii:

• Când adăugați un folder într-o bibliotecă, dosarul în sine nu se mișcă, mai degrabă se creează un link către locația folderului.
• Pentru a adăuga o partajare de rețea la bibliotecile dvs., trebuie să fie disponibilă offline, deși puteți utiliza și o lucrare în jurul utilizării legăturilor simbolice.

Pentru a adăuga un dosar la o bibliotecă, pur și simplu intrați în bibliotecă și faceți clic pe link-ul locații.

Apoi faceți clic pe butonul Adăugați.

Acum, localizați folderul pe care doriți să-l includeți în bibliotecă și faceți clic pe butonul Include folderul.

Cam despre asta e.

Identificatorul de securitate

Sistemul de operare Windows utilizează SID-uri pentru a reprezenta toate principiile de securitate. SID-urile sunt șiruri de lungime variabilă de caractere alfanumerice care reprezintă mașini, utilizatori și grupuri. SID-urile sunt adăugate la ACL-uri (Liste de control al accesului) de fiecare dată când acordați permisiunea unui utilizator sau unui grup unui fișier sau unui dosar. În spatele scenei, SID-urile sunt stocate la fel ca toate celelalte obiecte de date: în binar. Cu toate acestea, când vedeți un SID în Windows, acesta va fi afișat utilizând o sintaxă mai ușor de citit. Nu este adesea că veți vedea orice formă de SID în Windows; cel mai obișnuit scenariu este când acordați permisiunea unei anumite resurse, apoi ștergeți contul de utilizator. SID-ul va apărea apoi în ACL. Deci, vă permite să aruncați o privire la formatul tipic în care veți vedea SID-urile în Windows.

Notația pe care o veți vedea are o anumită sintaxă. Mai jos sunt diferitele părți ale SID.

• Un prefix "S"
• Numărul de revizie al structurii
• Valoarea autorității de identificare pe 48 de biți
• Un număr variabil de valori sub-autoritate pe 32 de biți sau identificator relativ (RID)

Folosind SID-ul meu în imaginea de mai jos vom rupe secțiunile diferite pentru a obține o mai bună înțelegere.

Structura SID:

'S' - Prima componentă a unui SID este întotdeauna un "S". Acest lucru este prefixat tuturor SID-urilor și este acolo pentru a informa Windows că ceea ce urmează este un SID.
'1' - A doua componentă a SID este numărul de revizuire al caietului de sarcini SID. Dacă specificația SID urma să se schimbe, ar oferi compatibilitate înapoi. Începând cu Windows 7 și Server 2008 R2, specificația SID se află încă în prima revizie.
'5' - A treia secțiune a SID este numită Autoritatea de identificare. Aceasta definește în ce domeniu SID a fost generat. Valorile posibile pentru aceste secțiuni ale SID pot fi:

• 0 - Null Authority
• 1 - Autoritatea Mondială
• 2 - Autoritatea locală
• 3 - autoritatea creatoare
• 4 - Autoritate non-unică
• 5 - Autoritatea NT

'21' - A patra componentă este sub-autoritatea 1. Valoarea "21" este utilizată în al patrulea câmp pentru a specifica că sub-autoritățile care urmează o identifică pe Mașina Locală sau pe Domeniu.
'1206375286-251249764-2214032401' - Acestea se numesc sub-autorități 2,3 și respectiv 4. În exemplul nostru, acest lucru este folosit pentru identificarea mașinii locale, dar poate fi și identificatorul unui domeniu.
'1000' - Sub-autoritatea 5 este ultima componentă din SID-ul nostru și se numește RID (Identifier relativ). RID-ul este relativ la fiecare principiu de securitate: rețineți că orice obiecte definite de utilizator, cele care nu sunt livrate de Microsoft, vor avea un RID de 1000 sau mai mare.

Principiile de securitate

Un principiu de securitate este orice are un SID atașat la acesta. Acestea pot fi utilizatori, computere și chiar grupuri. Principiile de securitate pot fi locale sau pot fi în contextul domeniului. Administrați principiile de securitate locală prin intermediul modulului snap-in Local Users and Groups, sub managementul calculatorului. Pentru a ajunge acolo, faceți clic dreapta pe comanda rapidă din meniul Start și alegeți să gestionați.

Pentru a adăuga un nou principiu de securitate a utilizatorilor, puteți accesa folderul Utilizatori și faceți clic dreapta și alegeți Utilizator nou.

Dacă dați dublu clic pe un utilizator, le puteți adăuga la un grup de securitate din fila Membru de.

Pentru a crea un nou grup de securitate, navigați la dosarul Grupuri din partea dreaptă. Faceți clic dreapta pe spațiul alb și selectați Grup nou.

Permiteți partajarea și permisiunea NTFS

În Windows există două tipuri de permisiuni pentru fișiere și foldere. În primul rând, există Permisele de distribuire. În al doilea rând, există permisiuni NTFS, care sunt numite și Permisiuni de securitate. Securizarea folderelor partajate se face, de obicei, cu o combinație de Permisiuni partajare și NTFS. Din moment ce este cazul, este necesar să rețineți că se aplică întotdeauna cea mai restrictivă permisiune. De exemplu, dacă permisiunea de partajare dă permisiunea de citire a permisiunii Everyone, dar permisiunea NTFS permite utilizatorilor să facă o modificare a fișierului, permisiunea de partajare va avea prioritate, iar utilizatorii nu vor avea permisiunea de a efectua modificări.Când setați permisiunile, LSASS (Autoritatea locală de securitate) controlează accesul la resursă. Când vă conectați, vi se dă un jeton de acces cu SID-ul pe acesta. Când accesați resursele, LSASS compară SID-ul pe care l-ați adăugat la lista de control al accesului (ACL). Dacă SID se află pe ACL, acesta determină dacă să permită sau să refuze accesul. Indiferent de permisiunile pe care le folosiți, există diferențe, așa că haideți să aruncăm o privire pentru a înțelege mai bine când trebuie să folosim ce.

Permisiuni de partajare:

• Se aplică numai utilizatorilor care accesează resursa prin rețea. Acestea nu se aplică dacă vă conectați la nivel local, de exemplu prin intermediul serviciilor de terminal.
• Se aplică tuturor fișierelor și dosarelor din resursa partajată. Dacă doriți să furnizați un tip mai restrâns de scheme de restricționare, ar trebui să utilizați Permisiunea NTFS în plus față de permisiunile partajate
• Dacă aveți volume în format FAT sau FAT32, aceasta va fi singura formă de restricție disponibilă pentru dvs., deoarece Permisiunile NTFS nu sunt disponibile pe acele sisteme de fișiere.

Permisiuni NTFS:

• Singura restricție privind Permisiunile NTFS este că acestea pot fi setate numai pe un volum formatat în sistemul de fișiere NTFS
• Amintiți-vă că Permisiunile NTFS sunt cumulative. Aceasta înseamnă că permisiunile efective ale unui utilizator sunt rezultatul combinării permisiunilor asociate utilizatorului și permisiunilor oricăror grupuri de care aparține utilizatorul.

Noile permisiuni de distribuire

Windows 7 a cumpărat de-a lungul unei noi tehnici de partajare "ușoară". Opțiunile au fost modificate de la Citire, Schimbare și Control complet la Citire și Citire / Scriere. Ideea a făcut parte din întreaga mentalitate a grupului de acasă și face ușor partajarea unui dosar pentru persoanele care nu au cunoștințe de calculator. Acest lucru se face prin intermediul meniului contextual și se distribuie ușor cu grupul dvs. de domiciliu.

Dacă doriți să partajați cu cineva care nu este în grupul de acasă, puteți alege întotdeauna opțiunea "Persoane specifice ...". Care ar aduce un dialog mai "elaborat" în care să puteți specifica un utilizator sau un grup.

Există doar două permisiuni, așa cum am menționat anterior. Împreună, acestea oferă o schemă de protecție totală sau deloc pentru dosarele și fișierele dvs.

1. Citit permisiunea este opțiunea "arăta, nu atinge". Destinatarii pot deschide, dar nu pot modifica sau șterge un fișier.
2. Citeste, scrie este opțiunea "face orice". Destinatarii pot deschide, modifica sau șterge un fișier.

Permisiunea școlii vechi

Dialogul vechi de acțiuni a avut mai multe opțiuni, cum ar fi opțiunea de a partaja dosarul sub un alias diferit. Ne-a permis să limităm numărul de conexiuni simultane, precum și să configuram cache-ul. Nici una dintre aceste funcționalități nu este pierdută în Windows 7, ci mai degrabă este ascunsă sub o opțiune numită "Partajare avansată". Dacă dați clic dreapta pe un dosar și accesați proprietățile acestuia, puteți găsi aceste setări "Partajare avansată" în fila partajare.

Dacă faceți clic pe butonul "Partajare avansată", care necesită acreditări ale administratorului local, puteți configura toate setările pe care le cunoașteți în versiunile anterioare de Windows.

Dacă dați clic pe butonul de permisiuni, veți primi cele 3 setări cu care suntem cu toții familiarizați.

• Citit permisiunea vă permite să vizualizați și să deschideți fișiere și subdirectoare, precum și să executați aplicații. Cu toate acestea, nu permite efectuarea unor modificări.
• Modifica permisiunea vă permite să faceți totul Citit permite permisiunea și adaugă și posibilitatea de a adăuga fișiere și subdirectoare, șterge subfolderele și modifică datele în fișiere.
• Control total este "face orice" din permisiunile clasice, deoarece vă permite să faceți oricare dintre permisiunile anterioare. În plus, vă oferă permisiunea avansată în schimbare NTFS, dar aceasta se aplică numai folderelor NTFS

Permisiuni NTFS

Permisiunile NTFS permit un control foarte granular asupra fișierelor și dosarelor. Cu aceasta a spus, cantitatea de granularitate poate fi descurajatoare pentru un nou-venit. De asemenea, puteți seta permisiunea NTFS pe bază de fișiere per fișier, precum și o bază per folder. Pentru a seta permisiunea NTFS pentru un fișier, trebuie să faceți clic dreapta și să mergeți la proprietățile fișierului, apoi să accesați fila de securitate.

Pentru a edita Permisiunile NTFS pentru un utilizator sau grup, faceți clic pe butonul de editare.

După cum puteți vedea, există o mulțime de Permisiuni NTFS, așa că haideți să le distrugem. În primul rând, vom examina Permisiunile NTFS pe care le puteți seta pe un fișier.

• Control total vă permite să citiți, să scrieți, să modificați, să executați, să modificați atributele, permisiunile și să preluați proprietatea asupra fișierului.
• Modifica vă permite să citiți, să scrieți, să modificați, să executați și să modificați atributele fișierului.
• Citiți și executați vă va permite să afișați datele, atributele, proprietarul și permisiunile fișierului și să rulați fișierul dacă acesta este un program.
• Citit vă va permite să deschideți fișierul, să vizualizați atributele, proprietarul și permisiunile acestuia.
• Scrie vă va permite să scrieți date în fișier, să le adăugați la fișier și să le citiți sau să le modificați atributele.

Permisiunile NTFS pentru foldere au opțiuni puțin diferite, așa că le permite să le aruncăm o privire.

• Control total vă va permite să citiți, să scrieți, să modificați și să executați fișiere în dosar, să modificați atributele, permisiunile și să vă asumați dreptul de proprietate asupra dosarului sau a fișierelor din interiorul acestuia.
• Modifica vă va permite să citiți, să scrieți, să modificați și să executați fișiere în dosar și să modificați atributele dosarului sau fișierelor din interiorul acestuia.
• Citiți și executați vă va permite să afișați conținutul dosarului și să afișați datele, atributele, proprietarul și permisiunile pentru fișierele din dosar și să rulați fișierele din dosar.
• Listează conținutul dosarului vă va permite să afișați conținutul dosarului și să afișați datele, atributele, proprietarul și permisiunile pentru fișierele din dosar și să rulați fișierele din dosar
• Citit vă va permite să afișați datele, atributele, proprietarul și permisiunile fișierului.
• Scrie vă va permite să scrieți date în fișier, să le adăugați la fișier și să le citiți sau să le modificați atributele.

rezumat

În rezumat, numele de utilizator și grupurile reprezintă reprezentări ale unui șir alfanumeric numit SID (Security Identifier). Partajarea și permisiunile NTFS sunt legate de aceste SID-uri. Parolele de permisiune sunt verificate de LSSAS numai atunci când sunt accesate prin rețea, în timp ce Permisiunile NTFS sunt combinate cu Permisiuni de partajare pentru a permite un nivel mai granular de securitate pentru resursele care sunt accesate atât pe rețea, cât și pe plan local.

Accesarea unei resurse partajate

Deci, acum că am aflat despre cele două metode pe care le putem folosi pentru a partaja conținutul pe PC-urile noastre, cum de fapt accesați-o prin rețea? Este foarte simplu. Doar introduceți următoarele în bara de navigare.

\ computername \ numepartajare

Notă: Evident, va trebui să înlocuiți numele computerului pentru numele PC-ului care găzduiește partajarea și numele de partajare pentru numele acțiunii.

Acest lucru este minunat pentru conexiunile odată, dar ce se întâmplă într-un mediu corporativ mai mare? Cu siguranță, nu trebuie să îi învățați pe utilizatori cum să se conecteze la o resursă de rețea utilizând această metodă. Pentru a obține acest lucru, veți dori să cartografiați o unitate de rețea pentru fiecare utilizator, astfel încât să îi sfătuiți să-și păstreze documentele pe unitatea "H", în loc să încerce să explice cum să vă conectați la o acțiune. Pentru a mapa o unitate, deschideți Computer și faceți clic pe butonul "Map network drive".

Apoi pur și simplu introduceți calea UNC a cotei.

Probabil vă întrebați dacă trebuie să faceți acest lucru pe fiecare PC și, din fericire, răspunsul este nu. Mai degrabă, puteți scrie un script batch pentru a cartografia automat unitățile pentru utilizatorii dvs. la conectare și pentru a le implementa prin intermediul politicii de grup.

Dacă vom diseca comanda:

• Noi folosim utilizarea netă comanda pentru a cartografia unitatea.
• Noi folosim * pentru a indica faptul că dorim să folosim următoarea literă disponibilă pentru unitate.
• În cele din urmă, noi specificați cota vrem să cartografim unitatea. Observați că am folosit citate, deoarece calea UNC conține spații.

Criptarea fișierelor utilizând sistemul de fișiere de criptare

Windows include capacitatea de a cripta fișierele pe un volum NTFS. Aceasta înseamnă că doar tu vei putea decripta fișierele și le vei putea vedea. Pentru a cripta un fișier, faceți clic dreapta pe el și selectați proprietăți din meniul contextual.

Apoi faceți clic pe avansat.

Acum, bifați caseta de selectare Criptați conținutul pentru securizarea datelor, apoi faceți clic pe OK.

Acum mergeți mai departe și aplicați setările.

Trebuie doar să criptați fișierul, dar aveți și opțiunea de criptare a dosarului părinte.

Rețineți că, odată ce fișierul este criptat, devine verde.

Veți observa acum că doar tu vei putea să deschizi fișierul și că ceilalți utilizatori de pe același PC nu vor putea. Procesul de criptare utilizează criptarea cheii publice, astfel încât să aveți în siguranță cheile de criptare. Dacă le pierzi, fișierul tău nu mai există și nu există nicio modalitate de recuperare.

Teme pentru acasă

• Aflați despre moștenirea permisiunii și permisiunile efective.
• Citiți acest document Microsoft.
• Aflați de ce doriți să utilizați BranchCache.
• Aflați cum să împărțiți imprimantele și de ce doriți să faceți acest lucru.