7Jul

Ako pochopiť tie zmätené Windows 7 File / Zdieľanie

Skúšali ste niekedy zistiť všetky povolenia v systéme Windows? K dispozícii sú oprávnenia na zdieľanie, oprávnenia systému NTFS, zoznamy riadenia prístupu a ďalšie. Tu je postup, ako všetci spolupracujú.

Bezpečnostný identifikátor

Operačné systémy Windows používajú SID na zastupovanie všetkých bezpečnostných princípov. SID sú len reťazce s premenlivou dĺžkou alfanumerických znakov, ktoré predstavujú stroje, používateľov a skupiny. SID sa pridávajú do zoznamov prístupových práv( zoznamy prístupových práv) vždy, keď udeľujete používateľovi alebo skupinovému povoleniu súbor alebo priečinok. Za scénou sú SID uložené rovnakým spôsobom ako všetky ostatné dátové objekty v binárnom formáte. Keď však uvidíte SID v systéme Windows, zobrazí sa pomocou čitateľnejšej syntaxe. Nie je to často, keď uvidíte v systéme Windows nejakú formu SID, najčastejším prípadom je, keď udelíte niekomu povolenie na prostriedok, potom jeho používateľské konto bude odstránené, potom sa v ACL zobrazí ako identifikátor SID.Takže sa môžete pozrieť na typický formát, v ktorom uvidíte SID v systéme Windows.

Označenie, ktoré uvidíte, má určitú syntax, nižšie sú rôzne časti SID v tejto notácii.

  1. Predpona 'S'
  2. Číslo revízie štruktúry
  3. Hodnota orgánu 48-bitového identifikátora
  4. Premenlivý počet 32-bitových hodnôt podradených oprávnení alebo relatívnych identifikátorov( RID)

Pomocou môjho SID na obrázku nižšie rozbijeme rôznepre lepšie porozumenie.

Štruktúra SID:

'S' - Prvá zložka SID je vždy "S".Toto je predzmluvný pre všetky SID a je tu informovať Windows, že to, čo nasleduje, je SID.
'1' - Druhou súčasťou SID je číslo revízie špecifikácie SID, ak by sa zmenila špecifikácia SID, poskytla spätnú kompatibilitu. Od Windows 7 a Server 2008 R2 je špecifikácia SID stále v prvej revízii.
'5' - Tretia časť SID sa nazýva orgán pre identifikáciu. Toto definuje, v akom rozsahu bol SID vytvorený.Možné hodnoty pre tieto časti SID môžu byť:

  1. 0 - Null Authority
  2. 1 - Svetová autorita
  3. 2 - Miestna samospráva
  4. 3 - Autorita autorov
  5. 4 - Nenáročná autorita
  6. 5 - NT Autorita

'21 ' - Theprvou zložkou je sub-autorita 1, hodnota "21" sa používa v štvrtom poli, aby sa špecifikovalo, že nižšie orgány, ktoré nasledujú, identifikujú lokálny počítač alebo doménu.
'1206375286-251249764-2214032401' - Tieto sa nazývajú podriadenosť 2,3 a 4.V našom príklade sa toto používa na identifikáciu lokálneho počítača, ale môže to byť aj identifikátor pre doménu.
'1000' - Sub-autorita 5 je posledná zložka v našom SID a nazýva sa RID( Relatívny identifikátor), RID je relatívna pre každý bezpečnostný princíp, všimnite si, že všetky užívateľom definované objekty, tie, ktoré nie sú odoslanéspoločnosť Microsoft bude mať RID 1000 alebo viac.

Bezpečnostné princípy

Princíp bezpečnosti je čokoľvek, čo má pripojený SID, môžu to byť používatelia, počítače a dokonca aj skupiny. Bezpečnostné princípy môžu byť lokálne alebo v kontexte domény. Spravujete zásady lokálnej bezpečnosti pomocou modulu snap-in Lokálne používatelia a skupiny pod vedením počítača. Ak sa chcete tam dostať, kliknite pravým tlačidlom myši na skratku počítača v ponuke Štart a zvoľte správu.

Ak chcete pridať nový princíp bezpečnosti používateľa, prejdite do priečinka používateľov a kliknite pravým tlačidlom myši a vyberte nového používateľa.

Ak dvakrát kliknete na používateľa, môžete ho pridať do skupiny zabezpečenia na karte Člen.

Ak chcete vytvoriť novú skupinu zabezpečenia, prejdite do zložky Skupiny na pravej strane. Kliknite pravým tlačidlom na biely priestor a vyberte novú skupinu.

Zdieľanie oprávnení a oprávnenie NTFS

V systéme Windows existujú dva typy oprávnení na súbory a priečinky, najprv sú povolenia na zdieľanie a na druhej strane existujú oprávnenia NTFS nazývané aj oprávnenia na zabezpečenie. Berte na vedomie, že keď zdieľate priečinok, predvolene dostanete povolenie na čítanie skupine "Všetci".Zabezpečenie priečinkov sa zvyčajne vykonáva s kombináciou oprávnenia na zdieľanie a prijímanie súborov typu NTFS, ak je to tak, je nevyhnutné pamätať na to, že platí najviac reštriktívna, napríklad ak je povolenie zdieľania nastavené na Everyone = Read( čo je predvolené)ale oprávnenie NTFS umožňuje používateľom vykonať zmenu v súbore, povolenie na zdieľanie bude mať prednosť a používatelia nebudú môcť robiť zmeny. Keď nastavíte povolenia, LSASS( Local Security Authority) riadi prístup k prostriedku. Pri prihlásení dostanete prístupový token s identifikátorom SID na ňom, pri prístupe k prostriedku LSASS porovná SID, ktorý ste pridali do zoznamu prístupových práv( ACL) a ak je identifikátor SID v ACL, určuje, čipovoliť alebo odmietnuť prístup. Bez ohľadu na to, aké povolenia používate, existujú rozdiely, takže sa môžete pozrieť, aby ste lepšie pochopili, kedy by sme mali používať to, čo.

Povolenia na zdieľanie:

  1. Použiť len pre používateľov, ktorí pristupujú k prostriedku v sieti. Neaplikujú sa, ak sa prihlásite na miestnej úrovni, napríklad prostredníctvom terminálnych služieb.
  2. Vzťahuje sa na všetky súbory a priečinky v zdieľanom prostriedku. Ak chcete poskytnúť podrobnejšiu schému obmedzenia, mali by ste okrem zdieľaných povolení používať aj povolenie NTFS
  3. Ak máte akékoľvek zväzky formátované vo formáte FAT alebo FAT32, bude to len forma obmedzenia, ktoré máte k dispozícii, pretože oprávnenia NTFS nie súk dispozícii v týchto súborových systémoch.

Povolenia NTFS:

  1. Jediným obmedzením oprávnení NTFS je, že môžu byť nastavené iba na zväzok, ktorý je naformátovaný do súborového systému NTFS
  2. Pamätajte, že súbory NTFS sú kumulatívne, čo znamená, že efektívne povolenia používateľa sú výsledkom kombinácie priradených používateľovoprávnenia a povolenia akýchkoľvek skupín, do ktorých používateľ patrí.

Nové povolenia na zdieľanie

Windows 7 si kúpili novú techniku ​​zdieľania. Možnosti sa zmenili z položky Čítať, Zmeniť a Úplná kontrola na.Čítať a čítať / zapisovať.Táto myšlienka bola súčasťou celej mentality domácej skupiny a uľahčuje zdieľanie zložky pre ľudí bez počítačovej gramotnosti. To sa deje pomocou kontextovej ponuky a zdieľa s vašou domácou skupinou ľahko.

Ak ste chceli zdieľať s niekým, kto nie je v domácej skupine, môžete vždy zvoliť možnosť "Osoby špecifické. ..".Cieľ by priniesol viac "prepracovaný" dialóg. Kde môžete určiť konkrétneho používateľa alebo skupinu.

Existujú iba dva povolenia, ako sme už uviedli, spoločne poskytujú schému ochrany pre všetky priečinky a súbory.

  1. Prečítajte si povolenie je voľba "vzhľad, nedotýkajte sa".Príjemcovia môžu otvárať súbor, ale nesmú ho meniť ani mazať.
  2. Čítanie / zápis je voľba "robiť čokoľvek".Príjemcovia môžu otvoriť, upraviť alebo odstrániť súbor.

Stará školská cesta

Starý zdieľaný dialóg mal viac možností a dal nám možnosť zdieľať priečinok pod iným aliasom, umožnil nám obmedziť počet súčasných pripojení a konfigurovať ukladanie do vyrovnávacej pamäte.Žiadna z týchto funkcií sa nestratila v systéme Windows 7, ale je skrytá pod možnosťou "Zdieľané zdieľanie".Ak kliknete pravým tlačidlom myši na priečinok a prejdete na jeho vlastnosti, nájdete tieto nastavenia "Zdieľané zdieľanie" na karte zdieľania.

Ak kliknete na tlačidlo "Rozšírené zdieľanie", ktoré vyžaduje poverenia lokálnych správcov, môžete nakonfigurovať všetky nastavenia, ktoré ste poznali v predchádzajúcich verziách systému Windows.

Ak kliknete na tlačidlo povolenia, zobrazí sa vám 3 nastavenia, ktoré všetci poznáme.

  1. Čítanie povolenie vám umožňuje prezerať a otvárať súbory a podadresáre, rovnako ako spúšťať aplikácie. Nepovoľuje však žiadne zmeny.
  2. Upraviť povolenie umožňuje vykonať čokoľvek, čo umožňuje Read povolenie, pridáva tiež možnosť pridať súbory a podadresáre, odstrániť podpriečinky a zmeniť dáta v súboroch.
  3. Full Control je "robiť čokoľvek" z klasických oprávnení, pretože umožňuje vykonávať všetky predchádzajúce povolenia. Okrem toho vám dáva rozšírené zmeny oprávnenia NTFS, to platí iba pre priečinky NTFS

Povolenia NTFS

Povolenie NTFS umožňuje veľmi zrnitú kontrolu nad vašimi súbormi a priečinkami. S týmto povedané množstvo granularity môže byť nováčikom skľučujúcim. Môžete tiež nastaviť povolenie NTFS na základe súboru, ako aj podľa jednotlivých priečinkov. Ak chcete nastaviť oprávnenie NTFS na súbor, mali by ste pravým tlačidlom myši a prejsť na vlastnosti súborov, kde musíte prejsť na kartu zabezpečenia.

Ak chcete upraviť oprávnenia NTFS pre používateľa alebo skupinu, kliknite na tlačidlo Upraviť.

Ako môžete vidieť, existuje dostatok oprávnení NTFS, takže ich môžete rozdeliť.Najprv sa pozrieme na oprávnenia systému NTFS, ktoré môžete nastaviť v súbore.

  1. Úplné ovládanie umožňuje čítať, písať, upravovať, vykonávať, meniť atribúty, oprávnenia a prevzatie vlastníctva súboru.
  2. Modifikácia umožňuje čítať, písať, upravovať, vykonávať a meniť atribúty súboru.
  3. Prečíst &Spustiť vám umožní zobraziť údaje súboru, atribúty, vlastníka a povolenia a spúšťať súbor, ak je jeho program.
  4. Read vám umožní otvoriť súbor, zobraziť jeho atribúty, vlastníka a povolenia.
  5. Napíšte vám umožní zapísať dáta do súboru, pripojiť k súboru a čítať alebo meniť jeho atribúty.

NTFS Povolenia pre priečinky majú mierne odlišné možnosti, takže ich môžete pozrieť.Úplné ovládanie

  1. umožňuje čítať, písať, upravovať a vykonávať súbory v priečinku, meniť atribúty, povolenia a prevzatie vlastníctva priečinka alebo súborov v rámci.
  2. Modifikácia umožňuje čítať, zapisovať, upravovať a vykonávať súbory v priečinku a meniť atribúty priečinka alebo súborov v rámci.
  3. Prečítajte &Spustiť vám umožní zobraziť obsah priečinka a zobraziť dáta, atribúty, vlastník a povolenia pre súbory v priečinku a spustiť súbory v priečinku.
  4. Zoznam zložiek zoznamu vám umožní zobraziť obsah priečinka a zobraziť dáta, atribúty, vlastníka a povolenia pre súbory v priečinku.
  5. Prečítajte si vám umožní zobraziť údaje súboru, atribúty, vlastníka a povolenia.
  6. Napíšte vám umožní zapísať dáta do súboru, pripojiť k súboru a čítať alebo meniť jeho atribúty.

Dokumentácia spoločnosti Microsoft tiež uvádza, že "obsah zoznamu priečinkov" vám umožní spustiť súbory v priečinku, ale stále budete musieť zapnúť funkciu "Čítať &Execute ".Je to veľmi zmätočne zdokumentované povolenie.

Zhrnutie

Súhrnne, používateľské mená a skupiny sú reprezentácie alfanumerického reťazca s názvom SID( Security Identifier), Share a NTFS Permissions sú viazané na tieto SID.Povolenia na zdieľanie sú skontrolované prostredníctvom protokolu LSSAS iba vtedy, keď sú prístupné cez sieť, zatiaľ čo oprávnenia systému NTFS sú platné iba na lokálnych počítačoch. Dúfam, že ste všetci rozumne pochopili, ako je implementácia zabezpečenia súborov a priečinkov v systéme Windows 7.Ak máte akékoľvek otázky, môžete sa vyjadriť v komentároch.