21Aug

Geek School: Apprendre Windows 7 - Accès aux ressources

click fraud protection

Dans cette installation de Geek School, nous examinons la virtualisation des dossiers, les SID et les autorisations, ainsi que le système de fichiers Encrypting.

Soyez sûr de vérifier les articles précédents dans cette série Geek School sur Windows 7:

  • Présentation de How-To School Geek
  • Mises à niveau et migrations
  • Configuration des périphériques
  • Gestion des disques
  • Gestion des applications
  • Gestion des Internet Explorer
  • Principes de base de l'adressage
  • Networking
  • WirelessRéseau
  • Pare-feu Windows
  • Administration à distance
  • Accès à distance
  • Surveillance, performance et maintien de Windows à jour

Et restez à l'écoute pour le reste de la série toute cette semaine.

Virtualisation de dossiers

Windows 7 a introduit la notion de bibliothèque qui vous permettait d'avoir un emplacement centralisé à partir duquel vous pouviez voir les ressources situées ailleurs sur votre ordinateur. Plus spécifiquement, la fonctionnalité de bibliothèques vous permettait d'ajouter des dossiers de n'importe où sur votre ordinateur à l'une des quatre bibliothèques par défaut, Documents, Musique, Vidéos et Images, qui sont facilement accessibles depuis le volet de navigation de Windows Explorer.

instagram viewer

Il y a deux choses importantes à noter à propos de la fonction de bibliothèque:

  • Lorsque vous ajoutez un dossier à une bibliothèque, le dossier lui-même ne bouge pas, un lien est créé à l'emplacement du dossier.
  • Afin d'ajouter un partage réseau à vos bibliothèques, il doit être disponible hors ligne, bien que vous puissiez également utiliser un travail autour en utilisant des liens symboliques.

Pour ajouter un dossier à une bibliothèque, dirigez-vous simplement dans la bibliothèque et cliquez sur le lien des emplacements.

Cliquez ensuite sur le bouton Ajouter.

Recherchez maintenant le dossier que vous souhaitez inclure dans la bibliothèque et cliquez sur le bouton Inclure le dossier.

C'est tout ce qu'il y a à faire.

L'identificateur de sécurité

Le système d'exploitation Windows utilise des identificateurs de sécurité pour représenter tous les principes de sécurité.Les SID sont simplement des chaînes de caractères alphanumériques de longueur variable représentant des machines, des utilisateurs et des groupes. Les SID sont ajoutés aux ACL( listes de contrôle d'accès) chaque fois que vous accordez à un utilisateur ou à un groupe l'autorisation d'accéder à un fichier ou à un dossier. Dans les coulisses, les SID sont stockés de la même manière que tous les autres objets de données: en binaire. Cependant, lorsque vous voyez un SID dans Windows, il sera affiché en utilisant une syntaxe plus lisible. Ce n'est pas souvent que vous verrez n'importe quelle forme de SID dans Windows;Le scénario le plus courant est lorsque vous accordez l'autorisation à une personne, puis supprimez son compte d'utilisateur. Le SID apparaîtra alors dans l'ACL.Jetons un coup d'oeil au format typique dans lequel vous verrez les SID dans Windows.

La notation que vous verrez prend une certaine syntaxe. Voici les différentes parties d'un SID.

  • Un préfixe 'S'
  • Numéro de révision de structure
  • Une valeur d'autorité d'identificateur de 48 bits
  • Un nombre variable de sous-autorité 32 bits ou d'identificateur relatif( RID)

En utilisant mon SID dans l'image ci-dessous, nous allons séparer les différentssections pour mieux comprendre.

La structure SID:

'S' - Le premier composant d'un SID est toujours un 'S'.Ceci est préfixé à tous les SID et est là pour informer Windows que ce qui suit est un SID.
'1' - Le deuxième composant d'un SID est le numéro de révision de la spécification SID.Si la spécification SID devait être modifiée, elle fournirait une rétrocompatibilité.À partir de Windows 7 et Server 2008 R2, la spécification SID est toujours dans la première révision.
'5' - La troisième section d'un SID est appelée l'autorité d'identification. Cela définit dans quelle étendue le SID a été généré.Les valeurs possibles pour ces sections du SID peuvent être:

  • 0 - Autorité nulle
  • 1 - Autorité mondiale
  • 2 - Autorité locale
  • 3 - Autorité créatrice
  • 4 - Autorité non unique
  • 5 - Autorité NT

'21' - Le quatrième composant est la sous-autorité 1. La valeur '21' est utilisée dans le quatrième champ pour spécifier que les sous-autorités qui suivent identifient la machine locale ou le domaine.
'1206375286-251249764-2214032401' - On les appelle respectivement sous-autorité 2,3 et 4.Dans notre exemple, ceci est utilisé pour identifier la machine locale, mais pourrait également être l'identifiant d'un domaine.
'1000' - Sous-autorité 5 est le dernier composant de notre SID et s'appelle le RID( Relative Identifier).Le RID est relatif à chaque principe de sécurité: veuillez noter que tous les objets définis par l'utilisateur, ceux qui ne sont pas fournis par Microsoft, auront un RID de 1000 ou plus.

Principes de sécurité

Un principe de sécurité est tout ce qui est associé à un SID.Ceux-ci peuvent être des utilisateurs, des ordinateurs et même des groupes. Les principes de sécurité peuvent être locaux ou être dans le contexte du domaine. Vous gérez les principes de sécurité locaux via le composant logiciel enfichable Utilisateurs et groupes locaux, sous Gestion de l'ordinateur. Pour y accéder, faites un clic droit sur le raccourci de l'ordinateur dans le menu Démarrer et choisissez gérer.

Pour ajouter un nouveau principe de sécurité utilisateur, vous pouvez aller dans le dossier Utilisateurs et cliquer droit et choisir Nouvel utilisateur.

Si vous double-cliquez sur un utilisateur, vous pouvez l'ajouter à un groupe de sécurité dans l'onglet Membre de.

Pour créer un nouveau groupe de sécurité, accédez au dossier Groupes sur le côté droit. Faites un clic droit sur l'espace blanc et sélectionnez Nouveau groupe. Autorisations de partage

et autorisation NTFS

Dans Windows, il existe deux types d'autorisations de fichier et de dossier. Premièrement, il y a les autorisations de partage. Deuxièmement, il existe des autorisations NTFS, également appelées autorisations de sécurité.La sécurisation des dossiers partagés est généralement effectuée avec une combinaison d'autorisations Share et NTFS.Puisque c'est le cas, il est essentiel de se rappeler que l'autorisation la plus restrictive s'applique toujours. Par exemple, si l'autorisation de partage donne l'autorisation de lecture au principe de sécurité Tout le monde, mais que l'autorisation NTFS autorise les utilisateurs à modifier le fichier, l'autorisation de partage aura la priorité et les utilisateurs ne seront pas autorisés à apporter des modifications. Lorsque vous définissez les autorisations, LSASS( autorité de sécurité locale) contrôle l'accès à la ressource. Lorsque vous vous connectez, vous recevez un jeton d'accès avec votre SID.Lorsque vous accédez à la ressource, le LSASS compare le SID que vous avez ajouté à la liste de contrôle d'accès( ACL).Si le SID est sur la liste de contrôle d'accès, il détermine si autoriser ou refuser l'accès. Peu importe les autorisations que vous utilisez, il existe des différences, alors jetons un coup d'œil pour mieux comprendre quand nous devons utiliser quoi.

Autorisations de partage:

  • Appliquer uniquement aux utilisateurs qui accèdent à la ressource sur le réseau. Ils ne s'appliquent pas si vous vous connectez localement, par exemple via les services Terminal Server.
  • Il s'applique à tous les fichiers et dossiers de la ressource partagée. Si vous souhaitez fournir un type de restriction plus granulaire, vous devez utiliser l'autorisation NTFS en plus des autorisations partagées
  • Si vous avez des volumes au format FAT ou FAT32, ce sera la seule forme de restriction disponible, car les autorisations NTFS ne sont pasdisponible sur ces systèmes de fichiers. Autorisations NTFS

:

  • La seule restriction sur les autorisations NTFS est qu'elles peuvent uniquement être définies sur un volume formaté sur le système de fichiers NTFS
  • Rappelez-vous que les autorisations NTFS sont cumulatives. Cela signifie que les autorisations effectives d'un utilisateur résultent de la combinaison des autorisations attribuées à l'utilisateur et des autorisations de tous les groupes auxquels l'utilisateur appartient.

Les nouvelles autorisations de partage

Windows 7 achetées le long d'une nouvelle technique de partage "facile".Les options sont passées de Lecture, Modification et Contrôle total à Lecture et Lecture / Écriture. L'idée faisait partie de la mentalité Homegroup entière et le rend facile de partager un dossier pour les personnes non alphabétisées en informatique. Ceci est fait via le menu contextuel et partage facilement avec votre groupe résidentiel.

Si vous vouliez partager avec quelqu'un qui n'est pas dans le groupe d'appartenance, vous pouvez toujours choisir l'option "Personnes spécifiques. ..".Ce qui ferait apparaître une boîte de dialogue plus "élaborée" dans laquelle vous pourriez spécifier un utilisateur ou un groupe.

Il n'y a que deux permissions, comme mentionné précédemment. Ensemble, ils offrent un système de protection tout ou rien pour vos dossiers et fichiers.

  1. Lire permission est l'option "look, ne pas toucher".Les destinataires peuvent ouvrir, mais pas modifier ou supprimer un fichier.
  2. Lecture / écriture est l'option "faire n'importe quoi".Les destinataires peuvent ouvrir, modifier ou supprimer un fichier.

L'ancienne autorisation d'école

L'ancienne boîte de dialogue de partage avait plus d'options, telles que l'option de partager le dossier sous un autre alias. Cela nous a permis de limiter le nombre de connexions simultanées ainsi que de configurer la mise en cache. Aucune de ces fonctionnalités n'est perdue dans Windows 7, mais plutôt cachée sous une option appelée "Partage Avancé".Si vous faites un clic droit sur un dossier et allez à ses propriétés, vous pouvez trouver ces paramètres "Partage avancé" sous l'onglet de partage.

Si vous cliquez sur le bouton "Partage avancé", qui nécessite des informations d'identification d'administrateur local, vous pouvez configurer tous les paramètres que vous connaissiez dans les versions précédentes de Windows.

Si vous cliquez sur le bouton d'autorisation, les 3 paramètres que nous connaissons tous vous seront présentés.

    • Lire Autorisation vous permet d'afficher et d'ouvrir des fichiers et des sous-répertoires ainsi que d'exécuter des applications. Cependant, cela n'autorise aucun changement.
    • Modifier L'autorisation vous permet de faire tout ce que permet l'autorisation Read , et d'ajouter la possibilité d'ajouter des fichiers et sous-répertoires, de supprimer des sous-dossiers et de modifier les données dans les fichiers.
    • Contrôle total est le "faire n'importe quoi" des permissions classiques, car il vous permet de faire toutes les permissions précédentes. De plus, il vous donne l'autorisation NTFS changeante avancée, mais ceci s'applique seulement aux dossiers NTFS. Les permissions NTFS

Les permissions NTFS

permettent un contrôle très granulaire de vos fichiers et dossiers. Cela dit, la quantité de granularité peut être décourageante pour un nouveau venu. Vous pouvez également définir l'autorisation NTFS par fichier ainsi que par dossier. Pour définir NTFS Permission sur un fichier, vous devez cliquer avec le bouton droit de la souris et accéder aux propriétés du fichier, puis accéder à l'onglet Sécurité.

Pour modifier les autorisations NTFS pour un utilisateur ou un groupe, cliquez sur le bouton d'édition.

Comme vous pouvez le voir, il y a beaucoup d'Autorisations NTFS, donc nous allons les décomposer. Tout d'abord, nous verrons les permissions NTFS que vous pouvez définir sur un fichier.

  • Contrôle total vous permet de lire, d'écrire, de modifier, d'exécuter, de modifier des attributs, des autorisations et de prendre possession du fichier.
  • Modifier vous permet de lire, écrire, modifier, exécuter et modifier les attributs du fichier.
  • Lecture &Exécuter vous permettra d'afficher les données, les attributs, le propriétaire et les permissions du fichier, et exécuter le fichier s'il s'agit d'un programme.
  • Lire vous permettra d'ouvrir le fichier, d'afficher ses attributs, son propriétaire et ses permissions.
  • Write vous permettra d'écrire des données dans le fichier, de les ajouter au fichier et de lire ou modifier ses attributs.

NTFS Les permissions pour les dossiers ont des options légèrement différentes, alors regardons-les.

  • Contrôle total vous permet de lire, d'écrire, de modifier et d'exécuter des fichiers dans le dossier, de modifier les attributs, les autorisations et de prendre possession du dossier ou des fichiers qu'il contient.
  • Modifier vous permet de lire, d'écrire, de modifier et d'exécuter des fichiers dans le dossier et de modifier les attributs du dossier ou des fichiers qu'il contient.
  • Lecture &Exécuter vous permettra d'afficher le contenu du dossier et d'afficher les données, les attributs, le propriétaire et les autorisations pour les fichiers dans le dossier, et exécuter les fichiers dans le dossier.
  • Liste le contenu du dossier vous permettra d'afficher le contenu du dossier et afficher les données, attributs, propriétaire et autorisations pour les fichiers dans le dossier, et exécuter des fichiers dans le dossier
  • Lire vous permettra d'afficher les données du fichier, attributs,propriétaire et autorisations.
  • Write vous permettra d'écrire des données dans le fichier, de les ajouter au fichier et de lire ou modifier ses attributs.

Récapitulatif

En résumé, les noms d'utilisateur et les groupes sont des représentations d'une chaîne alphanumérique appelée SID( Security Identifier).Les autorisations Share et NTFS sont liées à ces SID.Les autorisations de partage sont vérifiées par le LSSAS uniquement lors de l'accès au réseau, tandis que les autorisations NTFS sont combinées avec les autorisations de partage pour permettre un niveau de sécurité plus granulaire pour les ressources accessibles sur le réseau ainsi que localement.

Accéder à une ressource partagée

Maintenant que nous avons appris les deux méthodes que nous pouvons utiliser pour partager du contenu sur nos PC, comment allez-vous réellement y accéder via le réseau? C'est très simple. Il suffit de taper ce qui suit dans la barre de navigation.

\\ nom_ordinateur \ nom_partage

Remarque: Il est évident que vous devrez remplacer nom_ordinateur par le nom du PC hébergeant le partage et le nom de partage du nom du partage.

C'est génial pour les connexions une fois, mais qu'en est-il dans un plus grand environnement d'entreprise? Vous n'avez sûrement pas besoin d'apprendre à vos utilisateurs comment se connecter à une ressource réseau en utilisant cette méthode. Pour contourner ce problème, vous devez mapper un lecteur réseau pour chaque utilisateur, de cette façon, vous pouvez leur conseiller de stocker leurs documents sur le lecteur "H", plutôt que d'essayer d'expliquer comment se connecter à un partage. Pour mapper un lecteur, ouvrez l'ordinateur et cliquez sur le bouton "Mapper le lecteur réseau".

Ensuite, tapez simplement le chemin UNC du partage.

Vous vous demandez probablement si vous devez le faire sur tous les PC, et heureusement, la réponse est non. Au lieu de cela, vous pouvez écrire un script de traitement par lots pour mapper automatiquement les lecteurs de vos utilisateurs lors de l'ouverture de session et les déployer via la stratégie de groupe.

Si nous disséquons la commande:

  • Nous utilisons la commande pour mapper le disque.
  • Nous utilisons * pour indiquer que nous voulons utiliser la prochaine lettre de lecteur disponible.
  • Enfin, nous spécifier le partage nous voulons mapper le lecteur. Notez que nous avons utilisé des guillemets car le chemin UNC contient des espaces.

Chiffrement de fichiers à l'aide du système de fichiers de chiffrement

Windows inclut la possibilité de chiffrer des fichiers sur un volume NTFS.Cela signifie que vous serez le seul à pouvoir déchiffrer les fichiers et les afficher. Pour crypter un fichier, faites un clic droit dessus et sélectionnez les propriétés dans le menu contextuel.

Puis cliquez sur avancé.

Cochez maintenant la case Crypter le contenu pour sécuriser les données, puis cliquez sur OK.

Maintenant allez-y et appliquez les paramètres.

Nous avons seulement besoin de crypter le fichier, mais vous avez également la possibilité de crypter le dossier parent.

Prenez note qu'une fois le fichier crypté, il devient vert.

Vous remarquerez maintenant que vous seul serez en mesure d'ouvrir le fichier et que d'autres utilisateurs sur le même PC ne pourront pas. Le processus de cryptage utilise le cryptage à clé publique, gardez vos clés de cryptage en sécurité.Si vous les perdez, votre fichier est parti et il n'y a aucun moyen de le récupérer.

Homework

  • En savoir plus sur l'héritage des autorisations et les autorisations effectives.
  • Lisez ce document Microsoft.
  • Apprenez pourquoi vous voulez utiliser BranchCache.
  • Apprenez à partager des imprimantes et pourquoi vous le souhaitez.