Школа Geek: Изучение Windows 7 - Доступ к ресурсам

2024 Автор: Geoffrey Carr | [email protected]. Последнее изменение: 2023-12-17 10:57

В этой установке Geek School мы рассмотрим виртуализацию папок, SID и разрешение, а также Encrypting File System.

Обязательно ознакомьтесь с предыдущими статьями в этой серии Geek School в Windows 7:

Знакомство с учебной школой
Модернизация и миграция
Конфигурирование устройств
Управление дисками
Управление приложениями
Управление Internet Explorer
Основы IP-адресации
сетей
Беспроводная сеть
Брандмауэр Windows
Удаленное администрирование
Удаленный доступ
Мониторинг, производительность и ведение Windows до даты

И оставайтесь настроенными для остальной части сериала всю эту неделю.

Виртуализация папок

В Windows 7 появилось представление о библиотеках, которые позволили вам иметь централизованное местоположение, из которого вы могли бы просматривать ресурсы, расположенные в другом месте на вашем компьютере. Более конкретно, функция библиотек позволила вам добавлять папки из любого места на вашем компьютере в одну из четырех библиотек по умолчанию: «Документы», «Музыка», «Видео» и «Картинки», которые легко доступны из навигационной панели Windows Explorer.

Когда вы добавляете папку в библиотеку, сама папка не перемещается, скорее создается ссылка на местоположение папки.
Чтобы добавить сетевой ресурс в свои библиотеки, он должен быть доступен в автономном режиме, хотя вы также можете использовать работу с использованием символических ссылок.

Чтобы добавить папку в библиотеку, просто зайдите в библиотеку и нажмите ссылку «Ссылки».

Теперь найдите папку, которую вы хотите включить в библиотеку, и нажмите кнопку «Включить папку».

Идентификатор безопасности

Операционная система Windows использует SID для представления всех принципов безопасности. SID - это просто строки переменной длины буквенно-цифровых символов, которые представляют машины, пользователей и группы. SID добавляются в списки управления доступом (списки контроля доступа) каждый раз, когда вы предоставляете пользователю или группе права на файл или папку. За кулисами SID хранятся одинаково, как и все другие объекты данных: в двоичном формате. Однако, когда вы видите SID в Windows, он будет отображаться с использованием более читаемого синтаксиса. Не часто вы увидите какую-либо форму SID в Windows; наиболее распространенный сценарий - когда вы предоставляете кому-то разрешение на ресурс, а затем удаляете свою учетную запись пользователя. SID появится в ACL. Поэтому давайте рассмотрим типичный формат, в котором вы увидите SID в Windows.

Обозначения, которые вы увидите, имеют определенный синтаксис. Ниже представлены разные части SID.

Префикс 'S'
Номер пересмотра структуры
Величина авторитета идентификатора 48 бит
Переменное число значений 32-разрядных суб-полномочий или относительного идентификатора (RID)

Используя мой идентификатор SID на изображении ниже, мы разберем различные разделы, чтобы получить лучшее понимание.


The SID Structure:
‘S’ – The first component of a SID is always an ‘S’. This is prefixed to all SIDs and is there to inform Windows that what follows is a SID. ’1′ – The second component of a SID is the revision number of the SID specification. If the SID specification was to change it would provide backwards compatibility. As of Windows 7 and Server 2008 R2, the SID specification is still in the first revision. ’5′ – The third section of a SID is called the Identifier Authority. This defines in what scope the SID was generated. Possible values for this sections of the SID can be:

0 – Null Authority
1 – World Authority
2 – Local Authority
3 – Creator Authority
4 – Non-unique Authority
5 – NT Authority

’21′ – The fourth component is sub-authority 1. The value ’21′ is used in the fourth field to specify that the sub-authorities that follow identify the Local Machine or the Domain. ’1206375286-251249764-2214032401′ – These are called sub-authority 2,3 and 4 respectively. In our example this is used to identify the local machine, but could also be the the identifier for a Domain. ’1000′ – Sub-authority 5 is the last component in our SID and is called the RID (Relative Identifier). The RID is relative to each security principle: please note that any user defined objects, the ones that are not shipped by Microsoft, will have a RID of 1000 or greater.

Принципы безопасности

Принцип безопасности - это все, что связано с SID. Это могут быть пользователи, компьютеры и даже группы. Принципы безопасности могут быть локальными или находиться в контексте домена. Управление локальными принципами безопасности осуществляется с помощью оснастки «Локальные пользователи и группы» при управлении компьютером. Чтобы попасть туда, щелкните правой кнопкой мыши на ярлыке компьютера в меню «Пуск» и выберите «Управление».

Чтобы добавить новый принцип безопасности пользователя, вы можете перейти в папку «Пользователи» и щелкнуть правой кнопкой мыши и выбрать «Новый пользователь».

Если вы дважды щелкните по пользователю, вы можете добавить их в группу безопасности на вкладке «Член».

Чтобы создать новую группу безопасности, перейдите в папку «Группы» с правой стороны. Щелкните правой кнопкой мыши по пробелу и выберите «Новая группа».

Разрешения для общего доступа и разрешение NTFS

В Windows существует два типа разрешений файлов и папок. Во-первых, есть Разрешения Share. Во-вторых, есть разрешения NTFS, которые также называются разрешениями безопасности. Защита общих папок обычно выполняется с помощью комбинации Разрешений для доступа к файлам и NTFS. Поскольку это так, важно помнить, что самое ограничительное разрешение всегда применяется. Например, если разрешение общего доступа предоставляет разрешение на чтение принципа безопасности Everyone, но разрешение NTFS позволяет пользователям вносить изменения в файл, разрешение на доступ будет иметь приоритет, и пользователям не разрешат вносить изменения. Когда вы устанавливаете разрешения, LSASS (Local Security Authority) контролирует доступ к ресурсу. Когда вы входите в систему, вам предоставляется токен доступа с вашим SID. Когда вы переходите на доступ к ресурсу, LSASS сравнивает SID, который вы добавили в ACL (список контроля доступа). Если SID находится в ACL, он определяет, разрешать или запрещать доступ. Независимо от того, какие разрешения вы используете, есть различия, поэтому давайте взглянем, чтобы лучше понять, когда мы должны что-то использовать.

Разрешения для доступа:

Используйте только те пользователи, которые обращаются к ресурсу по сети. Они не применяются, если вы входите в систему локально, например, через терминальные службы.
Он применяется ко всем файлам и папкам в общем ресурсе. Если вы хотите предоставить более узкую схему ограничения, вы должны использовать разрешение NTFS в дополнение к общим разрешениям
Если у вас есть тома FAT или FAT32, это будет единственной формой ограничения, доступной вам, поскольку разрешения NTFS недоступны в этих файловых системах.

Разрешения NTFS:

Единственным ограничением в разрешениях NTFS является то, что их можно установить только на том, который отформатирован в файловой системе NTFS
Помните, что разрешения NTFS являются кумулятивными.Это означает, что эффективные разрешения пользователя являются результатом объединения назначенных ему прав доступа и разрешений любых групп, к которым принадлежит пользователь.

Новые разрешения для доступа

Windows 7 купила новую технику «простой» акции. Параметры изменились с чтения, изменения и полного контроля на чтение и чтение / запись. Идея была частью всего менталитета Homegroup и облегчает совместное использование папки для людей, неграмотных для людей с ограниченными возможностями. Это делается через контекстное меню и позволяет легко делиться с вашей домашней группой.

Если вы хотите поделиться с кем-то, кто не находится в домашней группе, вы всегда можете выбрать опцию «Особые люди …». Что вызвало бы более «сложный» диалог, где вы могли бы указать пользователя или группу.

Как упоминалось ранее, существует только два разрешения. Вместе они предлагают схему защиты всех или ничего для ваших папок и файлов.



Read permission is the “look, don’t touch” option. Recipients can open, but not modify or delete a file.
Read/Write is the “do anything” option. Recipients can open, modify, or delete a file.

Разрешение старой школы

В старом диалоговом окне общего доступа было больше опций, например, возможность совместного использования папки под другим псевдонимом. Это позволило нам ограничить количество одновременных подключений, а также настроить кеширование. Ни одна из этих функций не потеряна в Windows 7, а скорее скрыта под опцией «Расширенный доступ». Если вы щелкните правой кнопкой мыши по папке и перейдите к ее свойствам, вы можете найти эти настройки «Расширенный доступ» на вкладке совместного доступа.

Если вы нажмете кнопку «Расширенный доступ», для которой требуются учетные данные локального администратора, вы можете настроить все параметры, которые были знакомы в предыдущих версиях Windows.

Если вы нажмете кнопку «Разрешения», вам будут представлены 3 параметра, с которыми мы все знакомы.

Читать позволяет просматривать и открывать файлы и подкаталоги, а также выполнять приложения. Однако это не позволяет делать какие-либо изменения.
изменять разрешение позволяет вам делать что-либо, что Читать разрешение позволяет, а также добавить возможность добавлять файлы и подкаталоги, удалять вложенные папки и изменять данные в файлах.
Полный контроль это «делать что-нибудь» из классических разрешений, так как позволяет вам делать все и все предыдущие разрешения. Кроме того, он дает вам расширенное изменение разрешения NTFS, но это применимо только к папкам NTFS

Разрешения NTFS

Разрешения NTFS позволяют очень детально контролировать ваши файлы и папки. С учетом сказанного, степень детализации может быть сложной для новичков. Вы также можете установить разрешение NTFS для каждого файла, а также для каждой папки. Чтобы установить разрешение NTFS для файла, вы должны щелкнуть правой кнопкой мыши и перейти к свойствам файла, а затем перейти на вкладку безопасности.

Как вы можете видеть, существует много разрешений NTFS, поэтому давайте разбейте их. Во-первых, мы рассмотрим разрешения NTFS, которые вы можете установить в файле.



Full Control allows you to read, write, modify, execute, change attributes, permissions, and take ownership of the file.
Modify allows you to read, write, modify, execute, and change the file’s attributes.
Read & Execute will allow you to display the file’s data, attributes, owner, and permissions, and run the file if it’s a program.
Read will allow you to open the file, view its attributes, owner, and permissions.
Write will allow you to write data to the file, append to the file, and read or change its attributes.

Разрешения NTFS для папок имеют несколько разные параметры, поэтому давайте взглянем на них.



Full Control will allow you to read, write, modify, and execute files in the folder, change attributes, permissions, and take ownership of the folder or files within.
Modify will allow you to read, write, modify, and execute files in the folder, and change attributes of the folder or files within.
Read & Execute will allow you to display the folder’s contents and display the data, attributes, owner, and permissions for files within the folder, and run files within the folder.
List Folder Contents will allow you to display the folder’s contents and display the data, attributes, owner, and permissions for files within the folder, and run files within the folder
Read will allow you to display the file’s data, attributes, owner, and permissions.
Write will allow you to write data to the file, append to the file, and read or change its attributes.

Резюме

Таким образом, имена и группы пользователей представляют собой буквенно-цифровые строки, называемые идентификатором безопасности (SID). Разрешения Share и NTFS привязаны к этим идентификаторам безопасности. Разрешения общего доступа проверяются LSSAS только при доступе по сети, а разрешения NTFS объединены с разрешениями общего доступа, чтобы обеспечить более узкий уровень безопасности для доступа к ресурсам по сети, а также локально.

Доступ к совместному ресурсу

Итак, теперь, когда мы узнали о двух методах, которые мы можем использовать для совместного использования контента на наших компьютерах, как вы на самом деле обращаетесь к нему по сети? Это очень просто. Просто введите следующее в панель навигации.


computernamesharename

Примечание. Очевидно, что вам нужно будет подставить имя компьютера для имени ПК, на котором размещается общий ресурс и имя для общего имени.

Это отлично подходит для однократных соединений, но как насчет более крупной корпоративной среды? Разумеется, вам не нужно научить пользователей подключаться к сетевому ресурсу с помощью этого метода. Чтобы обойти это, вам нужно будет сопоставить сетевой диск для каждого пользователя, таким образом вы можете посоветовать им хранить свои документы на диске «H», а не пытаться объяснить, как подключиться к общей папке. Чтобы сопоставить диск, откройте «Компьютер» и нажмите кнопку «Карта сетевого диска».

Затем просто введите UNC-путь к ресурсу.

Возможно, вам интересно, нужно ли вам делать это на каждом ПК, и, к счастью, ответ отрицательный. Скорее вы можете написать пакетный скрипт, чтобы автоматически сопоставлять диски для ваших пользователей при входе в систему и развертывать их с помощью групповой политики.

Мы используем сетевое использование команду для отображения диска.
Мы используем * чтобы обозначить, что мы хотим использовать следующую доступную букву диска.
Наконец, мы указать долю мы хотим сопоставить диск. Обратите внимание, что мы использовали кавычки, потому что путь UNC содержит пробелы.

Шифрование файлов с использованием файловой системы шифрования

Windows включает в себя возможность шифрования файлов на томе NTFS. Это означает, что вы сможете расшифровать файлы и просмотреть их. Чтобы зашифровать файл, просто щелкните его правой кнопкой мыши и выберите свойства из контекстного меню.