Как да разберем тези объркващи Windows 7 File / Share Permissions

Опитвали ли сте се да разберете всички разрешения в Windows? Има разрешения за споделяне, разрешения за NTFS, списъци за контрол на достъпа и други. Ето как всички те работят заедно.

Идентификатор на защитата

Операционните системи Windows използват SID, за да представят всички принципи на сигурността. SID са просто низове с променлива дължина от буквено-цифрови знаци, които представляват машини, потребители и групи. SID се добавят към ACL (списъци за контрол на достъпа) всеки път, когато предоставяте на потребител или група разрешение за файл или папка. Зад сцената SID се съхраняват по същия начин, както всички останали обекти за данни са в двоичен формат. Въпреки това, когато видите SID в Windows, той ще се покаже с помощта на по-четлив синтаксис. Не е често, че ще видите някаква форма на SID в Windows, най-често срещаният сценарий е, когато давате на някого разрешение за ресурс, а след това потребителският им акаунт се изтрива, след което ще се покаже като SID в ACL. Така че нека разгледаме типичния формат, в който ще видите SID в Windows.

Нотацията, която ще видите, има определен синтаксис, по-долу са различните части на SID в тази нотация.

1. Префикс "S"
2. Номер на ревизия на структурата
3. 48-битова идентификационна стойност на идентификатора
4. Променливи стойности на 32-битови подведомствени или относителни идентификатори (RID)

Използвайки SID в изображението по-долу, ще разделим различните секции, за да разберем по-добре.

Структурата на SID:

'С' - Първият компонент на SID винаги е "S". Това е префикс за всички SID и е там, за да информира Windows, че следващото е SID.
"1" - Вторият компонент на SID е номерът на ревизията на SID спецификацията, ако спецификацията SID трябва да промени това, ще осигури обратна съвместимост. От Windows 7 и Server 2008 R2 спецификацията на SID е все още в първата редакция.
"5" - Третата част на SID се нарича идентификационен орган. Това дефинира в какъв обхват е генериран SID. Възможните стойности за този раздел на SID могат да бъдат:

1. 0 - нулево управление
2. 1 - Световна власт
3. 2 - Местна власт
4. 3 - Орган на Създателя
5. 4 - Неуникален орган
6. 5 - NT орган

"21" - Четвъртият компонент е под-орган 1, а стойността "21" се използва в четвъртото поле, за да се уточни, че под-властите, които следват, идентифицират локалната машина или домейна.
"1206375286-251249764-2214032401" - Те се наричат ​​съответно под-орган 2,3 и 4. В нашия пример това се използва за идентифициране на локалната машина, но също така може да бъде идентификаторът за домейн.
"1000" - Под-орган 5 е последният компонент в нашия SID и се нарича RID (Relative Identifier), RID е свързан с всеки принцип на сигурност, имайте предвид, че всички дефинирани от потребителя обекти, тези, които не се доставят от Microsoft, ще имат RID 1000 или повече.

Принципи за сигурност

Принцип на сигурността е всичко, което има прикрепен към него SID, като това могат да бъдат потребители, компютри и дори групи. Принципите на сигурност могат да бъдат локални или да бъдат в контекста на домейна. Вие управлявате местните принципи за сигурност чрез модула за локални потребители и групи, под управление на компютъра. За да стигнете до там, щракнете с десния бутон на мишката на компютъра в стартовото меню и изберете управление.

За да добавите нов принцип за защита на потребителите, можете да отидете в папката на потребителите и да щракнете с десния бутон и да изберете нов потребител.

Ако щракнете двукратно върху потребител, можете да ги добавите към група за сигурност в раздела Член.

За да създадете нова група за сигурност, отворете папката "Групи" от дясната страна. Кликнете с десния бутон върху бялото пространство и изберете нова група.

Споделяне на разрешения и NTFS разрешение

В Windows има два вида разрешения за файлове и папки, първо има разрешения за споделяне, а второ има разрешения за NTFS, които също се наричат ​​Разрешения за сигурност. Обърнете внимание, че когато споделяте папка по подразбиране, на групата за „Всеки“ се дава разрешение за четене. Сигурността на папките обикновено се прави с комбинация от Споделяне и Разрешение за NTFS, ако е така, важно е да се помни, че най-ограничителните винаги се прилагат, например, ако разрешението за споделяне е зададено на Everyone = Read (което е по подразбиране) но разрешението NTFS позволява на потребителите да направят промяна в файла, разрешението за споделяне ще бъде предпочитано и потребителите няма да могат да правят промени. Когато зададете разрешенията, LSASS (Local Security Authority) контролира достъпа до ресурса. Когато влезете в системата, ще получите маркер за достъп с вашия SID на него, когато отидете за достъп до ресурса, LSASS сравнява SID, който сте добавили към ACL (Списък за контрол на достъпа) и ако SID е на ACL, определя дали разрешите или забраните достъп. Без значение какви разрешения използвате, съществуват различия, така че нека погледнем, за да разберем по-добре кога трябва да използваме какво.

Разрешение за споделяне:

1. Прилага се само за потребители, които имат достъп до ресурса по мрежата. Те не се прилагат, ако се логнете локално, например чрез терминални услуги.
2. Той се прилага за всички файлове и папки в споделения ресурс. Ако искате да предоставите по-подробна ограничителна схема, трябва да използвате NTFS Permission освен споделените разрешения
3. Ако имате FAT или FAT32 форматирани томове, това ще бъде единствената форма на ограничение, достъпна за вас, тъй като разрешенията за NTFS не са налични в тези файлови системи.

Разрешения за NTFS:

1. Единственото ограничение за разрешенията за NTFS е, че те могат да се задават само на том, който е форматиран във файловата система NTFS
2. Не забравяйте, че NTFS са кумулативни, което означава, че ефективните разрешения на потребителите са резултат от комбиниране на зададените от потребителя разрешения и разрешения на групи, към които потребителят принадлежи.

Новите разрешения за споделяне

Windows 7 е закупил по нова "лесна" техника за споделяне. Опциите са променени от Read, Change и Full Control на. Четене и четене / запис. Идеята е част от целия манталитет на Home Group и прави лесно споделянето на папка за некомпетентни хора. Това става чрез контекстното меню и лесно се споделя с вашата домашна група.

Ако искате да споделите с някой, който не е в домашната група, винаги можете да изберете опцията „Специфични хора…“. Което би довело до по-сложен диалог. Къде можете да посочите конкретен потребител или група.

Има само две разрешения, както вече споменахме, заедно те предлагат схема за защита на всички или нищо за вашите папки и файлове.

1. Прочети разрешение е опцията "изглежда, не докосвайте". Получателите могат да отварят, но не и да променят или изтриват файл.
2. Чети пиши е опцията „направи нищо“. Получателите могат да отварят, променят или изтриват файл.

Пътят на старото училище

Старият диалог за споделяне имаше повече опции и ни даде възможност да споделим папката под друг псевдоним, което ни позволи да ограничим броя на едновременните връзки, както и да конфигурираме кеширането. Нито една от тези функции не се губи в Windows 7, а е скрита под опция, наречена „Разширено споделяне“. Ако щракнете с десния бутон върху дадена папка и отидете в неговите свойства, можете да намерите тези настройки за "Разширено споделяне" в раздела за споделяне.

Ако кликнете върху бутона „Разширено споделяне“, който изисква идентификационни данни на местния администратор, можете да конфигурирате всички настройки, с които сте се запознали в предишни версии на Windows.

Ако кликнете върху бутона с разрешения, ще ви бъдат показани трите настройки, с които всички сме запознати.

1. Прочети разрешение ви позволява да преглеждате и отваряте файлове и поддиректории, както и да изпълнявате приложения. Това обаче не позволява да се правят промени.
2. Промяна разрешение ви позволява да направите всичко това Прочети разрешение позволява, също така добавя възможност за добавяне на файлове и поддиректории, изтриване на подпапки и промяна на данни в файловете.
3. Пълен контрол е „направете всичко“ на класическите разрешения, тъй като ви позволява да правите всички предишни разрешения. В допълнение, той ви дава усъвършенствано променящо NTFS разрешение, това се отнася само за папки NTFS

Разрешения за NTFS

Разрешението NTFS позволява много подробен контрол върху вашите файлове и папки. С това каза, че степента на гранулираност може да бъде обезсърчаваща за новодошлия. Можете също така да зададете NTFS разрешение на базата на файл, както и на базата на папка. За да зададете NTFS Разрешение за файл, трябва да щракнете с десния бутон и да отидете на свойствата на файловете, където ще трябва да отидете в раздела за сигурност.

За да редактирате NTFS разрешенията за потребител или група, кликнете върху бутона за редактиране.

Както може би виждате, има доста разрешения за NTFS, така че можете да ги разбиете. Първо ще разгледаме разрешенията на NTFS, които можете да зададете на даден файл.

1. Пълен контрол ви позволява да четете, пишете, променяте, изпълнявате, променяте атрибути, разрешения и поемате собствеността върху файла.
2. Промяна ви позволява да четете, пишете, променяте, изпълнявате и променяте атрибутите на файла.
3. Четене и изпълнение ще ви позволи да показвате данните, атрибутите, собственика и разрешенията на файла и да стартирате файла, ако е негова програма.
4. Прочети ще ви позволи да отворите файла, да видите неговите атрибути, собственик и разрешения.
5. пиша ще ви позволи да записвате данни във файла, да ги добавяте към файла и да четете или променяте неговите атрибути.

NTFS Разрешения за папки имат малко по-различни опции, така че нека ги разгледаме.

1. Пълен контрол ви позволява да четете, пишете, променяте и изпълнявате файлове в папката, променяте атрибути, разрешения и поемате собствеността върху папката или файловете в нея.
2. Промяна ви позволява да четете, пишете, променяте и изпълнявате файлове в папката и променяте атрибутите на папката или файловете в нея.
3. Четене и изпълнение ще ви позволи да показвате съдържанието на папката и да показвате данните, атрибутите, собственика и разрешенията за файлове в папката и да стартирате файлове в папката.
4. Списък Съдържание на папки ще ви позволи да показвате съдържанието на папката и да показвате данните, атрибутите, собственика и разрешенията за файлове в папката.
5. Прочети ще ви позволи да показвате данните, атрибутите, собственика и разрешенията на файла.
6. пиша ще ви позволи да записвате данни във файла, да ги добавяте към файла и да четете или променяте неговите атрибути.

В документацията на Microsoft се посочва също, че „Съдържанието на папките в списъка“ ще ви позволи да изпълнявате файлове в папката, но все пак ще трябва да активирате „Четене и изпълнение“, за да го направите. Това е много объркващо документирано разрешение.

резюме

В обобщение, потребителските имена и групи са представяния на буквено-цифров низ, наречен SID (Security Identifier), Share и NTFS Permissions са свързани с тези SID. Разрешения за споделяне се проверяват от LSSAS само когато са достъпни по мрежата, докато разрешенията за NTFS са валидни само за локалните машини. Надявам се, че всички имате добро разбиране за това как е внедрена сигурността на файловете и папките в Windows 7. \ t Ако имате някакви въпроси, не се колебайте в коментарите.