Geek School: Učenje sustava Windows 7 - Pristup resursima

U ovoj instalaciji Geek škole razmatramo virtualizaciju mapa, SID-ova i dozvola, kao i sustav za šifriranje podataka.

Obavezno provjerite prethodne članke u ovom serija Geek Škola na sustavu Windows 7:

• Predstavljamo How-To Geek School
• Nadogradnje i migracije
• Konfiguriranje uređaja
• Upravljanje diskovima
• Upravljanje aplikacijama
• Upravljanje programom Internet Explorer
• Osnove za IP adresiranje
• Umrežavanje
• Bežično umrežavanje
• Vatrozid za Windows
• Daljinska administracija
• Daljinski pristup
• Praćenje, izvođenje i održavanje sustava Windows do datuma

I ostati u tijeku cijele serije cijeli tjedan.

Virtualizacija mape

Windows 7 je uveo pojam knjižnica što vam je omogućilo da imate centraliziranu lokaciju iz koje možete pregledavati resurse locirane na drugom mjestu na vašem računalu. Točnije, značajka knjižnica omogućila je da mape s bilo kojeg mjesta na računalu dodate u jednu od četiri zadane knjižnice, dokumente, glazbu, videozapise i slike, koje su lako dostupne iz navigacijskog okna programa Windows Explorer.

Postoje dvije važne stvari za bilješku o knjižničnoj značajci:

• Kada dodate mapu u biblioteku, mapa se sama ne pomica, već se veza stvara na mjesto mape.
• Da biste dodali mrežni udio u svoje knjižnice, ona mora biti dostupna izvanmrežno, iako biste mogli upotrebljavati i simbolične veze.

Da biste dodali mapu u biblioteku, jednostavno krenite u biblioteku i kliknite vezu lokacije.

Zatim kliknite gumb za dodavanje.

Sada pronađite mapu koju želite uključiti u biblioteku i kliknite gumb za uključivanje mape.

To je sve.

Sigurnosni identifikator

Operacijski sustav Windows koristi SID-ove da zastupaju sva načela sigurnosti. SID-ovi su samo duljine dužine promjenjive dužine alfanumeričkih znakova koji predstavljaju strojeve, korisnike i grupe. SID-ovi se dodaju u ACL-ove (Popis za kontrolu pristupa) svaki put kada dodijelite korisniku ili grupi dopuštenje za datoteku ili mapu. Iza kulisa, SID su pohranjeni na isti način na koji su svi ostali podatkovni objekti: u binarnom. Međutim, kada vidite SID u sustavu Windows, bit će prikazana pomoću čitljivije sintakse. Često nećete vidjeti bilo koji oblik SID-a u sustavu Windows; najčešći scenarij je kada dopustite nekome dopuštenje za resurs, a zatim izbrišite svoj korisnički račun. SID se pojavljuje u ACL-u. Tako možete pogledati tipičan format u kojemu ćete vidjeti SID-ove u sustavu Windows.

Zapis koji ćete vidjeti ima određenu sintaksu. Ispod su različiti dijelovi SID-a.

• Prefiks "S"
• Broj revizija strukture
• 48-bitna vrijednost autoriteta identifikatora
• Varijabilni broj 32-bitnih pod-autoriteta ili relativnih identifikatora (RID)

Pomoću mog SID-a na donjoj slici razbit ćemo različite odjeljke kako bismo bolje razumjeli.

Struktura SID:

'S' - Prva komponenta SID-a uvijek je 'S'. Ovo je prefiksno za sve SID-ove i postoji li obavijestiti Windowse da ono što slijedi je SID.
'1' - Druga komponenta SID-a je broj revizije specifikacije SID. Ako je specifikacija SID promijenila, ona bi omogućila kompatibilnost unatrag. Od sustava Windows 7 i Server 2008 R2, specifikacija SID još uvijek je u prvoj verziji.
'5' - treći odjeljak SID-a se zove Identifier Authority. Ovo određuje u kojem je opsegu generiran SID. Moguće vrijednosti za ove sekcije SID-a mogu biti:

• 0 - Null tijelo
• 1 - Svjetska vlast
• 2 - Lokalna uprava
• 3 - Tijelo Stvoritelja
• 4 - nejedinstvena ovlast
• 5 - NT autoritet

'21' - Četvrta komponenta je pod-autoritet 1. Vrijednost '21' koristi se u četvrtom polju kako bi se odredilo da sub-vlasti koje slijede identificiraju Local Machine ili Domain.
'1206375286-251249764-2214032401' - To se naziva poduprojalom 2,3 i 4. U našem primjeru ovo se koristi za prepoznavanje lokalnog stroja, ali može biti i identifikator domene.
'1000' - Potvrda 5 je posljednja komponenta našeg SID-a i naziva se RID (relativni identifikator). RID je u odnosu na svaki princip sigurnosti: imajte na umu da svi korisnički definirani objekti, oni koje nije isporučio Microsoft, imat će RID od 1000 ili više.

Načela sigurnosti

Načelo sigurnosti je sve što je povezano s SID-om. To mogu biti korisnici, računala i čak skupine. Načela sigurnosti mogu biti lokalna ili biti u kontekstu domene. Upravljajte lokalnim sigurnosnim načelima putem dodatka lokalnih korisnika i grupa, pod upravljanjem računalom. Da biste stigli tamo, desnom tipkom miša kliknite prečac računala na izborniku Start i odaberite Upravljanje.

Da biste dodali novi princip zaštite korisnika, možete otići u mapu Korisnici i desnom tipkom miša kliknite Novi korisnik.

Ako dvaput kliknete na korisnika, možete ih dodati u sigurnosnu grupu na kartici Član.

Da biste stvorili novu sigurnosnu grupu, idite do mape Grupe s desne strane. Desnom tipkom miša kliknite bijeli prostor i odaberite Nova grupa.

Dozvole za dijeljenje i dozvola NTFS-a

U sustavu Windows postoje dvije vrste dozvola za datoteke i mape. Prvo, postoje dozvole za dijeljenje. Drugo, postoje dozvole za NTFS, koje se nazivaju i dozvola za sigurnost. Osiguravanje zajedničkih mapa obično se provodi kombinacijom dozvola za dijeljenje i NTFS. Budući da je to slučaj, neophodno je zapamtiti da se uvijek restriktivno dopušta. Na primjer, ako dopuštenje za dijeljenje daje dopuštenje za čitanje svih načela sigurnosti, dopuštenje za dopuštanje NTFS-a dopušta korisnicima da izvrše izmjenu datoteke, dozvolu dijeljenja imat će prednost, a korisnicima neće biti dopušteno izvršiti promjene.Kada postavite dopuštenja, LSASS (Local Security Authority) kontrolira pristup resursu. Kada se prijavite, dobit ćete pristupni token sa svojim SID-om. Kada pristupite resursu, LSASS uspoređuje SID koji ste dodali u ACL (Popis za kontrolu pristupa). Ako je SID na ACL-u, određuje hoće li dopustiti ili odbiti pristup. Bez obzira na dozvole koje koristite, postoje razlike pa pogledajmo kako bismo bolje razumjeli kada bismo trebali koristiti ono što.

Dijeli dozvole:

• Primijenite samo korisnike koji pristupaju resursima putem mreže. Oni se ne primjenjuju ako se prijavite lokalno, na primjer putem terminalskih usluga.
• Primjenjuje se na sve datoteke i mape u zajedničkom resursu. Ako želite pružiti više granularne vrste ograničenja sheme, trebate koristiti NTFS Dopuštenje uz dijeljene dozvole
• Ako imate bilo koji formatirani volumen FAT ili FAT32, to će biti jedini oblik ograničenja koji vam je dostupan jer NTFS Dozvole nisu dostupne na tim datotekama.

NTFS dopuštenja:

• Jedino ograničenje dozvola NTFS je da se mogu postaviti samo na volumen koji je formatiran u NTFS datotečni sustav
• Imajte na umu da su dozvole za NTFS kumulativne. To znači da su učinkovite dozvole korisnika rezultat kombiniranja korisničkih dozvoljenih dozvola i dozvola bilo koje grupe korisnika kojoj pripada.

Novi dozvole za dijeljenje

Windows 7 kupio je novu "jednostavnu" tehniku ​​dijeljenja. Opcije su promijenjene iz Read, Change i Full Control za čitanje i čitanje / pisanje. Ideja je bila dio cijelog mentaliteta domaće grupe i olakšava dijeljenje mape za osobe koje nisu pismene. To se vrši putem kontekstnog izbornika i jednostavno dijeli s vašom početnom grupom.

Ako biste željeli podijeliti s nekim tko nije u kućnoj grupi, uvijek možete odabrati opciju "Specifični ljudi ...". Što će donijeti više "razrađen" dijalog gdje možete odrediti korisnika ili grupu.

Postoje samo dvije dozvole, kao što je prethodno spomenuto. Zajedno, oni nude sve ili ništa zaštitne sheme za vaše mape i datoteke.

1. Čitati dopuštenje je opcija "izgled, ne dodiruj". Primatelji mogu otvoriti, ali ne mijenjati ili izbrisati datoteku.
2. Read / Write je opcija "učiniti sve". Primatelji mogu otvoriti, mijenjati ili izbrisati datoteku.

Dopuštenje stare škole

Stari dijaloški okvir za dijeljenje imao je više mogućnosti, kao što je opcija za dijeljenje mape pod drugim pseudonimom. To nam je omogućilo ograničavanje broja istovremenih veza i konfiguriranje predmemoriranja. Nijedna od tih funkcija nije izgubljena u sustavu Windows 7, već je skrivena pod opcijom pod nazivom "Napredno dijeljenje". Ako desnom tipkom miša kliknete mapu i prijeđete na njezina svojstva, možete pronaći ove postavke "Napredno dijeljenje" pod karticom za dijeljenje.

Ako kliknete gumb "Napredno dijeljenje", koji zahtijeva vjerodajnice lokalnih administratora, možete konfigurirati sve postavke koje ste upoznali u prethodnim verzijama sustava Windows.

Ako kliknete gumb dopuštenja, prikazat će se 3 postavke s kojima smo svi upoznati.

• Čitati dopuštenje vam omogućuje pregled i otvaranje datoteka i poddirektorija te izvršavanje aplikacija. Međutim, ne dopušta nikakve izmjene.
• izmijeniti dopuštenje vam omogućuje da učinite sve što je Čitati dopuštenje dopušta, a također dodaje mogućnost dodavanja datoteka i poddirektorija, brisanje podmapa i promjenu podataka u datotekama.
• Potpuna kontrola je "učiniti sve" klasičnih dopuštenja, jer vam omogućuje da učinite bilo koju i prethodnu dozvolu. Osim toga, ona vam daje naprednu promjenu NTFS dopuštenja, ali to se odnosi samo na NTFS mape

NTFS dopuštenja

NTFS dopuštenja omogućuju vrlo granularnu kontrolu nad vašim datotekama i mapama. S tim rečeno, visina granularnosti može biti zastrašujuća za novopridošla. Također možete postaviti dozvolu NTFS po bazama podataka, kao i po mapi osnovi. Da biste postavili NTFS Dozvolu za datoteku, trebali biste kliknuti desnom tipkom i otići do svojstava datoteke, a zatim otvoriti karticu Sigurnost.

Da biste uredili dozvole NTFS za korisnika ili grupu, kliknite gumb za uređivanje.

Kao što vidite, postoji dosta dozvola NTFS-a, stoga ih prekinemo. Prvo ćemo pogledati dozvole NTFS koje možete postaviti u datoteci.

• Potpuna kontrola omogućuje čitanje, pisanje, izmjenu, izvršavanje, promjenu atributa, dopuštenja i preuzimanje vlasništva nad datotekom.
• izmijeniti omogućuje čitanje, pisanje, izmjenu, izvršavanje i promjenu atributa datoteke.
• Pročitajte i izvršite omogućit će vam prikaz podataka, atributa, vlasnika i dopuštenja datoteke i pokretanje datoteke ako je to program.
• Čitati omogućit će vam da otvorite datoteku, pregledate njegove atribute, vlasnika i dopuštenja.
• Pisati omogućit će vam pisanje podataka u datoteku, dodavanje u datoteku i čitanje ili promjena njegovih atributa.

NTFS Dozvole za mape imaju blago različite opcije pa ih možete pogledati.

• Potpuna kontrola omogućit će vam čitanje, pisanje, izmjenu i izvršavanje datoteka u mapi, promjenu atributa, dopuštenja i preuzimanje vlasništva nad mapom ili datotekama.
• izmijeniti omogućit će vam čitanje, pisanje, izmjenu i izvršavanje datoteka u mapi te promjenu atributa mape ili datoteka unutar.
• Pročitajte i izvršite omogućit će vam prikaz sadržaja i prikaz podataka, atributa, vlasnika i dopuštenja za datoteke unutar mape i pokretanje datoteka unutar mape.
• Sadržaj popisa popisa omogućit će vam da prikazate sadržaj mape i prikažete podatke, atribute, vlasnike i dozvole za datoteke unutar mape i pokrenite datoteke unutar mape
• Čitati omogućit će vam prikaz podataka, atributa, vlasnika i dozvola datoteke.
• Pisati omogućit će vam pisanje podataka u datoteku, dodavanje u datoteku i čitanje ili promjena njegovih atributa.

Sažetak

Ukratko, korisnička imena i skupine predstavljaju alfanumerički niz koji se zove SID (sigurnosni identifikator). Dijele i Datoteke NTFS vezane su za te SID-ove. Dozvole za dijeljenje provjerava LSSAS samo kada se pristupa putem mreže, dok su dozvole za NTFS kombinirane s dozvolama za dijeljenje kako bi se omogućila preciznija razina sigurnosti za resurse kojima se pristupa putem mreže i lokalno.

Pristup zajedničkom resursu

Dakle, sada kada smo naučili o dvije metode koje možemo koristiti za dijeljenje sadržaja na našim računalima, kako zapravo možete pristupiti mreži? Vrlo je jednostavno. Samo upišite sljedeće u navigacijsku traku.

\ naziv računala \ NazivResursaKojiSeZajedničkiKoristi

Napomena: Očito ćete morati nadomjestiti računalno ime za naziv računala koja posjeduje udio i dijeljenje za naziv dijela.

Ovo je sjajno za neko vrijeme izvan povezivanja, ali što je u većem korporativnom okruženju? Sigurno ne morate naučiti svoje korisnike kako se povezati s resursima mreže pomoću ove metode. Da biste to ostvarili, željet ćete mapirati mrežni pogon za svakog korisnika, tako da im možete savjetovati da pohranjuju svoje dokumente na "H" pogon, a ne pokušavate objasniti kako se povezati s dijeljenjem. Da biste mapirali disk, otvorite Računalo i kliknite gumb "Mrežni pogon mreže".

Zatim jednostavno unesite UNC put udjela.

Vaša se vjerojatno pitate ako to morate raditi na svakom računalu, a srećom odgovor nije. Naprotiv, možete napisati skupnu skriptu za automatsko mapiranje pogona za svoje korisnike prilikom prijave i implementaciju putem pravila grupe.

Ako razvrsta naredbu:

• Koristimo neto upotreba naredba za mapiranje pogona.
• Koristimo * da označimo da želimo koristiti sljedeće dostupno slovo pogona.
• Napokon smo navedite udio želimo mapirati voziti. Napominjemo da smo koristili citate jer UNC put sadrži razmake.

Šifriranje datoteka pomoću sustava za šifriranje datoteka

Windows uključuje mogućnost kriptiranja datoteka na NTFS volumenu. To znači da ćete moći dešifrirati datoteke i pregledati ih. Da biste šifrirali datoteku, jednostavno kliknite desnom tipkom miša i odaberite svojstva iz kontekstnog izbornika.

Zatim kliknite na napredni.

Potvrdite potvrdni okvir Encrypt content to secure data (Potvrdi sadržaje), a zatim kliknite OK (U redu).

Sada idite naprijed i primijenite postavke.

Moramo samo šifrirati datoteku, ali imate i mogućnost kriptiranja nadređene mape.

Imajte na umu da jednom kad je šifrirana datoteka postaje zelena.

Sada ćete primijetiti da ćete samo moći otvoriti datoteku i da drugi korisnici na istom računalu neće moći. Proces enkripcije koristi enkripciju javnog ključa, stoga čuvajte ključeve šifriranja. Ako ih izgubite, datoteka je nestala i nema načina za oporavak.

Domaća zadaća

• Saznajte više o dopuštenju nasljedstva i učinkovite dozvole.
• Pročitajte ovaj Microsoftov dokument.
• Saznajte zašto biste željeli koristiti BranchCache.
• Saznajte kako dijeliti pisače i zašto biste to htjeli.