Обучение на Windows 7 - достъп до ресурси
В тази инсталация на Geek School ще разгледаме виртуализацията на папки, SID и разрешителното, както и шифрованата файлова система.
Не забравяйте да проверите предишните статии в тази серия на Geek School за Windows 7:
- Въвеждане на How-To Geek училище
- Надстройки и миграции
- Конфигуриране на устройства
- Управление на дискове
- Управление на приложения
- Управление на Internet Explorer
- Основи на IP адресиране
- Работа в мрежа
- Безжична мрежа
- Защитна стена на Windows
- Отдалечено администриране
- Отдалечен достъп
- Мониторинг, производителност и поддържане на Windows до дата
Очаквайте останалата част от поредицата цяла седмица.
Виртуализация на папки
Windows 7 въведе понятието за библиотеки, което ви позволи да имате централизирано местоположение, от което можете да видите ресурси, разположени на друго място на вашия компютър. По-конкретно, функцията библиотеки ви позволява да добавяте папки от всяка точка на компютъра към една от четирите библиотеки по подразбиране, Документи, Музика, Видеоклипове и Картини, които са лесно достъпни от навигационния екран на Windows Explorer.
Има две важни неща, които трябва да се отбележат за функцията на библиотеката:
- Когато добавите папка към библиотека, самата папка не се премества, а се създава връзка към местоположението на папката.
- За да добавите мрежов дял към вашите библиотеки, той трябва да бъде на разположение офлайн, въпреки че можете да използвате и работа около използването на символни връзки.
За да добавите папка към библиотека, просто влезте в библиотеката и кликнете върху връзката на местоположенията.
След това кликнете върху бутона за добавяне.
Сега намерете папката, която искате да включите в библиотеката и кликнете върху бутона Включване на папка.
Това е всичко.
Идентификатор на защитата
Операционната система Windows използва SID за представяне на всички принципи на сигурност. SID са просто низове с променлива дължина от буквено-цифрови знаци, които представляват машини, потребители и групи. SID се добавят към ACL (списъци за контрол на достъпа) всеки път, когато предоставяте на потребител или група разрешение за файл или папка. Зад кулисите SID се съхраняват по същия начин, както всички други обекти на данни са: в двоичен. Въпреки това, когато видите SID в Windows, той ще бъде показан с по-четлив синтаксис. Не е често, че ще видите всяка форма на SID в Windows; най-често срещаният сценарий е, когато давате на някого разрешение за ресурс, след което изтривате потребителския им профил. След това SID ще се появи в ACL. Така че нека разгледаме типичния формат, в който ще видите SID в Windows.
Нотацията, която ще видите, има определен синтаксис. По-долу са дадени различните части на SID.
- Префикс "S"
- Номер на ревизия на структурата
- 48-битова идентификационна стойност на идентификатора
- Променливи стойности на 32-битови подведомствени или относителни идентификатори (RID)
Използвайки SID в изображението по-долу, ще разделим различните секции, за да разберем по-добре.
Структурата на SID:
'С' - Първият компонент на SID винаги е "S". Това е префикс за всички SID и е там, за да информира Windows, че следващото е SID.
"1" - Вторият компонент на SID е номерът на ревизията на SID спецификацията. Ако спецификацията SID трябваше да промени, тя ще осигури обратна съвместимост. От Windows 7 и Server 2008 R2, SID спецификацията е все още в първата версия.
"5" - Третата част на SID се нарича идентификационен орган. Това дефинира в какъв обхват е генериран SID. Възможните стойности за този раздел на SID могат да бъдат:
- 0 - нулево управление
- 1 - Световна власт
- 2 - Местна власт
- 3 - Орган на Създателя
- 4 - Неуникален орган
- 5 - NT орган
"21" - Четвъртият компонент е под-власт 1. Стойността „21“ се използва в четвъртото поле, за да се уточни, че под-органите, които следват, идентифицират локалната машина или домейна..
"1206375286-251249764-2214032401" - Те се наричат съответно под-орган 2,3 и 4. В нашия пример това се използва за идентифициране на локалната машина, но също така може да бъде идентификаторът за домейн.
"1000" - Под-орган 5 е последният компонент в нашия SID и се нарича RID (Relative Identifier). RID е по отношение на всеки принцип на сигурност: имайте предвид, че всички дефинирани от потребителя обекти, тези, които не се доставят от Microsoft, ще имат RID от 1000 или по-висока..
Принципи за сигурност
Принцип на сигурността е всичко, което има прикрепен към него SID. Те могат да бъдат потребители, компютри и дори групи. Принципите на сигурност могат да бъдат локални или да бъдат в контекста на домейна. Вие управлявате местните принципи за сигурност чрез модула за локални потребители и групи, под управление на компютъра. За да стигнете до него, щракнете с десния бутон на мишката върху клавишната комбинация от компютъра в стартовото меню и изберете управление.
За да добавите нов принцип за защита на потребителите, можете да отидете в папката Потребители и да щракнете с десния бутон и да изберете Нов потребител.
Ако щракнете двукратно върху потребител, можете да ги добавите към група за сигурност в раздела Член.
За да създадете нова група за сигурност, отворете папката "Групи" от дясната страна. Кликнете с десния бутон върху празното пространство и изберете Нова група.
Споделяне на разрешения и NTFS разрешение
В Windows има два вида разрешения за файлове и папки. Първо, има разрешения за споделяне. Второ, има NTFS Разрешения, които също се наричат Разрешения за сигурност. Обезпечаването на споделените папки обикновено се извършва с комбинация от разрешения за споделяне и NTFS. Тъй като случаят е такъв, важно е да се помни, че най-ограничителното разрешение винаги се прилага. Например, ако разрешението за споделяне дава разрешение за четене на принципа "Всеки", но разрешението на NTFS позволява на потребителите да направят промяна в файла, разрешението за споделяне ще има предимство и потребителите няма да могат да правят промени. Когато зададете разрешенията, LSASS (Local Security Authority) контролира достъпа до ресурса. Когато влезете в системата, получавате маркер за достъп с вашия SID. Когато отидете за достъп до ресурса, LSASS сравнява SID, който сте добавили към ACL (Списък за контрол на достъпа). Ако SID е в ACL, той определя дали да разреши или забрани достъпа. Без значение какви разрешения използвате, съществуват различия, така че нека погледнем, за да разберем по-добре кога трябва да използваме.
Разрешение за споделяне:
- Прилага се само за потребители, които имат достъп до ресурса по мрежата. Те не се прилагат, ако се логнете локално, например чрез терминални услуги.
- Той се прилага за всички файлове и папки в споделения ресурс. Ако искате да предоставите по-подробна ограничителна схема, трябва да използвате NTFS Permission освен споделените разрешения
- Ако имате FAT или FAT32 форматирани томове, това ще бъде единствената форма на ограничение, достъпна за вас, тъй като разрешенията за NTFS не са налични в тези файлови системи.
Разрешения за NTFS:
- Единственото ограничение за разрешенията за NTFS е, че те могат да се задават само на том, който е форматиран във файловата система NTFS
- Не забравяйте, че разрешенията за NTFS са кумулативни. Това означава, че ефективните разрешения на потребителя са резултат от комбиниране на зададените от потребителя разрешения и разрешения на всички групи, към които потребителят принадлежи.
Новите разрешения за споделяне
Windows 7 е закупил по нова "лесна" техника за споделяне. Опциите се променят от Read, Change и Full Control до Read и Read / Write. Идеята е част от цялостния манталитет на Homegroup и улеснява споделянето на папка за некомпютърни грамотни хора. Това става чрез контекстното меню и лесно се споделя с вашата домашна група.
Ако искате да споделите с някой, който не е в домашната група, винаги можете да изберете опцията „Специфични хора…“. Което би довело до по-сложен диалог, където можете да посочите потребител или група.
Има само две разрешения, както вече споменахме. Заедно те предлагат схема за защита на всички или нищо за вашите папки и файлове.
- Прочети разрешение е опцията "изглежда, не докосвайте". Получателите могат да отварят, но не и да променят или изтриват файл.
- Чети пиши е опцията „направи нищо“. Получателите могат да отварят, променят или изтриват файл.
Разрешение за старото училище
В стария диалог за споделяне имаше повече опции, като опцията за споделяне на папката под друг псевдоним. Това ни позволи да ограничим броя на едновременните връзки, както и да конфигурираме кеширането. Нито една от тези функции не се губи в Windows 7, а е скрита под опция, наречена „Разширено споделяне“. Ако щракнете с десния бутон върху дадена папка и отидете в неговите свойства, можете да намерите тези настройки за "Разширено споделяне" в раздела за споделяне.
Ако кликнете върху бутона „Разширено споделяне“, който изисква идентификационни данни на местния администратор, можете да конфигурирате всички настройки, с които сте се запознали в предишни версии на Windows.
Ако кликнете върху бутона за разрешения, ще ви бъдат показани трите настройки, с които всички сме запознати.
- Прочети разрешение ви позволява да преглеждате и отваряте файлове и поддиректории, както и да изпълнявате приложения. Това обаче не позволява да се правят промени.
- Промяна разрешение ви позволява да направите всичко това Прочети разрешение позволява, а също така добавя възможност за добавяне на файлове и поддиректории, изтриване на подпапки и промяна на данни в файловете.
- Пълен контрол е „направете всичко“ на класическите разрешения, тъй като ви позволява да правите всички предишни разрешения. В допълнение, той ви дава усъвършенствано променящо NTFS разрешение, но това се отнася само за папки NTFS
Разрешения за NTFS
Разрешенията за NTFS позволяват много голям контрол над вашите файлове и папки. С това казаното количество на гранулираност може да бъде обезсърчаващо за новодошлия. Можете също така да зададете NTFS разрешение на базата на файл, както и на базата на папка. За да зададете NTFS Разрешение за файл, трябва да щракнете с десния бутон и да отидете на свойствата на файла, след това отидете в раздела за сигурност.
За да редактирате NTFS разрешенията за потребител или група, кликнете върху бутона за редактиране.
Както може би виждате, има доста разрешения за NTFS, така че нека да ги разбием. Първо, ще разгледаме разрешенията на NTFS, които можете да зададете на даден файл.
- Пълен контрол ви позволява да четете, пишете, променяте, изпълнявате, променяте атрибути, разрешения и поемате собствеността върху файла.
- Промяна ви позволява да четете, пишете, променяте, изпълнявате и променяте атрибутите на файла.
- Четене и изпълнение ще ви позволи да показвате данните, атрибутите, собственика и разрешенията на файла и да стартирате файла, ако е програма.
- Прочети ще ви позволи да отворите файла, да видите неговите атрибути, собственик и разрешения.
- пиша ще ви позволи да записвате данни във файла, да ги добавяте към файла и да четете или променяте неговите атрибути.
NTFS Разрешения за папки имат малко по-различни опции, така че нека ги разгледаме.
- Пълен контрол ще ви позволи да четете, пишете, променяте и изпълнявате файлове в папката, променяте атрибути, разрешения и поемате собствеността върху папката или файловете в.
- Промяна ще ви позволи да четете, пишете, променяте и изпълнявате файлове в папката и да променяте атрибутите на папката или файловете в нея.
- Четене и изпълнение ще ви позволи да показвате съдържанието на папката и да показвате данните, атрибутите, собственика и разрешенията за файлове в папката и да стартирате файлове в папката.
- Списък Съдържание на папки ще ви позволи да показвате съдържанието на папката и да показвате данните, атрибутите, собственика и разрешенията за файлове в папката и да стартирате файлове в папката
- Прочети ще ви позволи да показвате данните, атрибутите, собственика и разрешенията на файла.
- пиша ще ви позволи да записвате данни във файла, да ги добавяте към файла и да четете или променяте неговите атрибути.
резюме
В обобщение, потребителските имена и групи са представяния на буквено-цифров низ, наречен SID (Security Identifier). Разрешения за споделяне и NTFS са свързани с тези SID. Разрешителните права за споделяне се проверяват от LSSAS само когато са достъпни по мрежата, докато разрешенията за NTFS се комбинират с разрешения за споделяне, за да се даде възможност за по-деликатно ниво на сигурност за достъп до ресурси по мрежата, както и на местно ниво.
Достъп до споделен ресурс
Така че сега, след като научихме за двата метода, които можем да използваме за споделяне на съдържание на нашите компютри, как всъщност става въпрос за достъп до нея по мрежата? Много е просто. Просто напишете следното в лентата за навигация.
\\ именакомпютъра \ именасподеляне
Забележка: Очевидно ще трябва да замените име на компютъра за името на компютъра, който хоства споделянето и sharename за името на споделеното.
Това е чудесно за веднъж изключени връзки, но какво да кажем в по-голяма корпоративна среда? Със сигурност не е нужно да обучавате потребителите си как да се свързват към мрежов ресурс, използвайки този метод. За да преодолеете това, вие ще искате да картографирате мрежово устройство за всеки потребител, по този начин можете да ги посъветвате да съхраняват документите си на “H” диск, вместо да се опитват да обясняват как да се свържат към дял. За да картографирате устройство, отворете Компютър и щракнете върху бутона „Карта на мрежовото устройство“.
След това просто въведете UNC пътя на споделянето.
Вероятно се чудите дали трябва да правите това на всеки компютър и за щастие отговорът е не. По-скоро можете да напишете пакетен скрипт, който автоматично да картографира устройствата за вашите потребители при влизане в системата и да ги инсталира чрез групови правила.
Ако анализираме командата:
- Използваме нетна употреба команда за картографиране на устройството.
- Ние използваме * за да обозначим, че искаме да използваме следващата налична буква на устройство.
- Накрая посочете акцията искаме да картографираме устройството. Забележете, че използвахме кавички, защото UNC пътът съдържа интервали.
Шифроване на файлове с помощта на шифрованата файлова система
Windows включва възможност за шифроване на файлове на NTFS том. Това означава, че само вие ще можете да дешифрирате файловете и да ги прегледате. За да шифровате файл, просто щракнете с десния бутон върху него и изберете свойства от контекстното меню.
След това кликнете върху напреднали.
Сега поставете отметка в квадратчето Шифроване на съдържанието за защита на данните, след което щракнете върху OK.
Сега продължете напред и прилагайте настройките.
Трябва само да шифроваме файла, но имате възможност да шифровате и родителската папка.
Обърнете внимание, че след като файлът е шифрован, той става зелен.
Сега ще забележите, че само вие ще можете да отворите файла и другите потребители на един и същ компютър няма да могат. Процесът на шифроване използва шифроване на публичен ключ, така че дръжте ключовете си за шифроване безопасни. Ако ги загубите, файлът ви е изчезнал и няма начин да го възстановите.
Домашна работа
- Научете повече за наследяването на разрешения и ефективните разрешения.
- Прочетете този документ на Microsoft.
- Научете защо искате да използвате BranchCache.
- Научете как да споделяте принтери и защо искате.