Cum să înțeleagă acele confuzii Windows 7 File / Share Permisiuni

Ați încercat vreodată să aflați toate permisiunile din Windows? Există permisiuni de partajare, permisiuni NTFS, liste de control acces și multe altele. Iată cum funcționează toți împreună.

Identificatorul de securitate

Sistemele de operare Windows utilizează SID-uri pentru a reprezenta toate principiile de securitate. SID-urile sunt șiruri de lungime variabilă de caractere alfanumerice care reprezintă mașini, utilizatori și grupuri. SID-urile sunt adăugate la ACL-uri (Liste de control al accesului) de fiecare dată când acordați permisiunea unui utilizator sau unui grup unui fișier sau unui dosar. În spatele scenei SID-urile sunt stocate la fel ca toate celelalte obiecte de date, în binar. Cu toate acestea, atunci când vedeți un SID în Windows, acesta va fi afișat utilizând o sintaxă mai ușor de citit. Nu este adesea că veți vedea orice formă de SID în Windows, cel mai frecvent scenariu fiind atunci când îi acordați permisiunea unei anumite resurse, apoi contul de utilizator este șters, acesta va apărea ca SID în ACL. Deci, vă permite să aruncați o privire la formatul tipic în care veți vedea SID-urile în Windows.

Notația pe care o veți vedea are o anumită sintaxă, mai jos sunt diferitele părți ale unui SID în această notație.

1. Un prefix "S"
2. Numărul de revizie al structurii
3. Valoarea autorității de identificare pe 48 de biți
4. Un număr variabil de valori sub-autoritate pe 32 de biți sau identificator relativ (RID)

Folosind SID-ul meu în imaginea de mai jos vom rupe secțiunile diferite pentru a obține o mai bună înțelegere.

Structura SID:

'S' - Prima componentă a unui SID este întotdeauna un "S". Acest lucru este prefixat tuturor SID-urilor și este acolo pentru a informa Windows că ceea ce urmează este un SID.
'1' - A doua componentă a SID este numărul de revizie al caietului de sarcini SID, în cazul în care specificația SID ar trebui să-l modifice, ar oferi compatibilitate înapoi. Începând cu Windows 7 și Server 2008 R2, specificația SID se află încă în prima revizie.
'5' - A treia secțiune a SID este numită Autoritatea de identificare. Aceasta definește în ce domeniu SID a fost generat. Valorile posibile pentru aceste secțiuni ale SID pot fi:

1. 0 - Null Authority
2. 1 - Autoritatea Mondială
3. 2 - Autoritatea locală
4. 3 - autoritatea creatoare
5. 4 - Autoritate non-unică
6. 5 - Autoritatea NT

'21' - A patra componentă este sub-autoritatea 1, valoarea "21" este folosită în al patrulea câmp pentru a specifica că sub-autoritățile care urmează urmează să identifice mașina locală sau domeniul.
'1206375286-251249764-2214032401' - Acestea se numesc sub-autorități 2,3 și respectiv 4. În exemplul nostru, acest lucru este folosit pentru identificarea mașinii locale, dar poate fi și identificatorul unui domeniu.
'1000' - Sub-autoritatea 5 este ultima componentă din SID-ul nostru și se numește RID (Relative Identifier), RID-ul este relativ la fiecare principiu de securitate, vă rugăm să rețineți că orice obiecte definite de utilizator, cele care nu sunt expediate de Microsoft vor avea RID de 1000 sau mai mare.

Principiile de securitate

Un principiu de securitate este orice are atașat un SID, acestea pot fi utilizatori, computere și chiar grupuri. Principiile de securitate pot fi locale sau pot fi în contextul domeniului. Administrați principiile de securitate locală prin intermediul modulului snap-in Local Users and Groups, sub managementul calculatorului. Pentru a ajunge acolo, faceți clic dreapta pe comanda rapidă din meniul Start și alegeți să gestionați.

Pentru a adăuga un nou principiu de securitate a utilizatorilor, puteți accesa folderul utilizatorilor, faceți clic dreapta și alegeți un utilizator nou.

Dacă dați dublu clic pe un utilizator, le puteți adăuga la un grup de securitate din fila Membru de.

Pentru a crea un nou grup de securitate, navigați la dosarul Grupuri din partea dreaptă. Faceți clic dreapta pe spațiul alb și selectați un nou grup.

Permiteți partajarea și permisiunea NTFS

În Windows, există două tipuri de permisiuni pentru fișiere și foldere, în primul rând există permisiunile de distribuire și, în al doilea rând, există permisiuni NTFS denumite și Permisiuni de securitate. Rețineți că atunci când partajați un dosar în mod prestabilit, grupul "Toată lumea" primește permisiunea de citire. Securitatea folderelor se face, de obicei, printr-o combinație de Permisiune partajare și NTFS, dacă este cazul, este necesar să rețineți că se aplică întotdeauna cel mai restrictiv, de exemplu dacă permisiunea de partajare este setată la Everyone = Read (care este implicit) dar Permisiunea NTFS permite utilizatorilor să facă o modificare a fișierului, Permisiunea de distribuire va avea prioritate și nu va fi permisă utilizatorilor să facă modificări. Când setați permisiunile, LSASS (Autoritatea locală de securitate) controlează accesul la resursă. Când vă conectați, vi se dă un indicativ de acces cu SID-ul dvs., când accesați resursele, LSASS compară SID-ul pe care l-ați adăugat în lista de control al accesului (ACL) și dacă SID se află pe ACL, determină dacă permite sau refuza accesul. Indiferent de permisiunile pe care le folosiți, există diferențe, astfel încât vă permite să aruncați o privire pentru a obține o mai bună înțelegere cu privire la momentul în care ar trebui să folosim ce.

Permisiuni de partajare:

1. Se aplică numai utilizatorilor care accesează resursa prin rețea. Acestea nu se aplică dacă vă conectați la nivel local, de exemplu prin intermediul serviciilor de terminal.
2. Se aplică tuturor fișierelor și dosarelor din resursa partajată. Dacă doriți să furnizați un tip mai restrâns de scheme de restricționare, ar trebui să utilizați Permisiunea NTFS în plus față de permisiunile partajate
3. Dacă aveți volume în format FAT sau FAT32, aceasta va fi singura formă de restricție disponibilă pentru dvs., deoarece Permisiunile NTFS nu sunt disponibile pe acele sisteme de fișiere.

Permisiuni NTFS:

1. Singura restricție privind Permisiunile NTFS este că acestea pot fi setate numai pe un volum formatat în sistemul de fișiere NTFS
2. Amintiți-vă că NTFS sunt cumulative, ceea ce înseamnă că permisiunile eficiente ale utilizatorilor sunt rezultatul combinării permisiunilor asociate utilizatorului și permisiunilor oricăror grupuri de care aparține utilizatorul.

Noile permisiuni de distribuire

Windows 7 a cumpărat de-a lungul unei noi tehnici de partajare "ușoară".Opțiunile au fost modificate de la Citire, Schimbare și Control complet la. Citiți și citiți / scrieți. Ideea a făcut parte din întreaga mentalitate a Grupului de acasă și face ușor împărtășirea unui dosar pentru persoane fără limbaj informatic. Acest lucru se face prin intermediul meniului contextual și se distribuie ușor cu grupul dvs. de domiciliu.

Dacă doriți să împărtășiți cu cineva care nu se află în grupul de domiciliu, puteți alege întotdeauna opțiunea "Persoane specifice ...". Ceea ce ar aduce un dialog mai "elaborat". Unde puteți specifica un anumit utilizator sau grup.

Există doar două permisiuni, așa cum am menționat anterior, împreună oferind o schemă de protecție totală sau deloc pentru dosarele și fișierele dvs.

1. Citit permisiunea este opțiunea "arăta, nu atinge". Destinatarii pot deschide, dar nu pot modifica sau șterge un fișier.
2. Citeste, scrie este opțiunea "face orice". Destinatarii pot deschide, modifica sau șterge un fișier.

Calea vechei școli

Dialogul vechi de acțiuni a avut mai multe opțiuni și ne-a oferit opțiunea de a partaja dosarul sub un alias diferit, ne-a permis să limităm numărul de conexiuni simultane, precum și să configuram cache-ul. Nici una dintre aceste funcționalități nu este pierdută în Windows 7, ci mai degrabă este ascunsă sub o opțiune numită "Partajare avansată". Dacă dați clic dreapta pe un dosar și accesați proprietățile acestuia, puteți găsi aceste setări "Partajare avansată" în fila partajare.

Dacă faceți clic pe butonul "Partajare avansată", care necesită acreditări ale administratorului local, puteți configura toate setările pe care le cunoașteți în versiunile anterioare de Windows.

Dacă faceți clic pe butonul de permisiuni, veți primi cele 3 setări cu care suntem cu toții familiarizați.

1. Citit permisiunea vă permite să vizualizați și să deschideți fișiere și subdirectoare, precum și să executați aplicații. Cu toate acestea, nu permite efectuarea unor modificări.
2. Modifica permisiunea vă permite să faceți totul Citit permite permisiunea, adaugă, de asemenea, capacitatea de a adăuga fișiere și subdirectoare, șterge subfolderele și modifică datele în fișiere.
3. Control total este "face orice" din permisiunile clasice, deoarece vă permite să faceți oricare dintre permisiunile anterioare. În plus, vă oferă permisiunea avansată în schimbare NTFS, aceasta se aplică numai folderelor NTFS

Permisiuni NTFS

Permisiunea NTFS permite un control foarte granular asupra fișierelor și dosarelor. Cu aceasta a spus cantitatea de granularitate poate fi descurajatoare pentru un nou-venit. De asemenea, puteți seta permisiunea NTFS pe bază de fișiere per fișier, precum și o bază per folder. Pentru a seta Permisiunea NTFS pe un fișier, trebuie să faceți clic dreapta și să accesați proprietățile fișierelor în care va trebui să accesați fila de securitate.

Pentru a edita Permisiunile NTFS pentru un utilizator sau un grup, faceți clic pe butonul de editare.

După cum puteți vedea, există destul de multe permise NTFS, astfel încât le permite să le rupeți. Mai întâi vom examina permisiunile NTFS pe care le puteți seta pe un fișier.

1. Control total vă permite să citiți, să scrieți, să modificați, să executați, să modificați atributele, permisiunile și să preluați proprietatea asupra fișierului.
2. Modifica vă permite să citiți, să scrieți, să modificați, să executați și să modificați atributele fișierului.
3. Citiți și executați vă va permite să afișați datele, atributele, proprietarul și permisiunile fișierului și să rulați fișierul dacă este un program.
4. Citit vă va permite să deschideți fișierul, să vizualizați atributele, proprietarul și permisiunile acestuia.
5. Scrie vă va permite să scrieți date în fișier, să le adăugați la fișier și să le citiți sau să le modificați atributele.

Permisiunile NTFS pentru dosare au opțiuni ușor diferite, astfel încât să le aruncăm o privire.

1. Control total vă permite să citiți, să scrieți, să modificați și să executați fișiere în folder, să schimbați atributele, permisiunile și să preluați proprietatea asupra dosarului sau a fișierelor din interiorul acestuia.
2. Modifica vă permite să citiți, să scrieți, să modificați și să executați fișiere în dosar și să schimbați atributele dosarului sau fișierelor din interiorul acestuia.
3. Citiți și executați vă va permite să afișați conținutul dosarului și să afișați datele, atributele, proprietarul și permisiunile pentru fișierele din dosar și să rulați fișierele din dosar.
4. Listează conținutul dosarului vă va permite să afișați conținutul dosarului și să afișați datele, atributele, proprietarul și permisiunile pentru fișierele din folder.
5. Citit vă va permite să afișați datele, atributele, proprietarul și permisiunile fișierului.
6. Scrie vă va permite să scrieți date în fișier, să le adăugați la fișier și să le citiți sau să le modificați atributele.

De asemenea, documentația Microsoft afirmă că "Folder List Contents" vă permite să executați fișierele din folder, dar va trebui să activați în continuare "Read & Execute" pentru a face acest lucru. Este o permisiune destul de confuză documentată.

rezumat

În rezumat, numele și grupurile de utilizatori sunt reprezentări ale unui șir alfanumeric numit SID (Security Identifier), permisiunile Share și NTFS sunt legate de aceste SID-uri. Parolele de permisiune sunt verificate de LSSAS numai atunci când sunt accesate prin rețea, în timp ce Permisiunile NTFS sunt valabile numai pentru mașinile locale. Sper că toți aveți o înțelegere solidă a modului în care securitatea fișierelor și a dosarelor în Windows 7 este implementată. Dacă aveți întrebări, nu ezitați să vă dezactivați în comentarii.