Головна » як » Geek школа навчання Windows 7 - доступ до ресурсів

    Geek школа навчання Windows 7 - доступ до ресурсів

    У цій установці Geek School ми розглянемо віртуалізацію папок, SID і дозвіл, а також файлову систему шифрування.

    Обов'язково ознайомтеся з попередніми статтями цієї серії Geek School на Windows 7:

    • Введення How-To Geek школи
    • Оновлення та міграції
    • Налаштування пристроїв
    • Керування дисками
    • Керування програмами
    • Керування Internet Explorer
    • Основи IP-адресації
    • Мережа
    • Бездротові мережі
    • Брандмауер Windows
    • Віддалене адміністрування
    • Віддалений доступ
    • Моніторинг, продуктивність і збереження Windows до дати

    Та залишаються настроєні для решти серії весь цей тиждень.

    Віртуалізація папок

    Windows 7 представив поняття бібліотек, що дозволило вам мати централізоване розташування, з якого ви могли б переглядати ресурси, розташовані в іншому місці на вашому комп'ютері. Зокрема, функція бібліотек дозволила додавати папки з будь-якої точки комп'ютера до однієї з чотирьох бібліотек за промовчанням, документів, музики, відео та зображень, які легко доступні з панелі навігації Windows Explorer.

    Про функцію бібліотеки слід зазначити дві важливі речі:

    • Коли ви додаєте папку до бібліотеки, сама папка не переміщується, а до місця розташування папки створюється посилання.
    • Щоб додати спільний доступ до мереж до ваших бібліотек, він повинен бути доступним в автономному режимі, хоча ви також можете використовувати роботу навколо, використовуючи символічні посилання.

    Щоб додати папку до бібліотеки, просто перейдіть до бібліотеки та натисніть посилання "Розташування".

    Потім натисніть кнопку "Додати".

    Тепер знайдіть папку, яку ви хочете включити в бібліотеку, і натисніть кнопку "Включити папку".

    Це все, що потрібно.

    Ідентифікатор безпеки

    Операційна система Windows використовує SID для представлення всіх принципів безпеки. Ідентифікатори SID - це лише рядки змінної довжини буквено-цифрових символів, які представляють машини, користувачі та групи. Ідентифікатори SID додаються до списків керування доступом (списки керування доступом) щоразу, коли ви надаєте користувачеві або групі дозвіл на файл або папку. За кулісами SID зберігаються так само, як і всі інші об'єкти даних: у двійковій. Однак, коли ви бачите SID у Windows, він буде відображатися за допомогою більш читаного синтаксису. Не часто ви бачите будь-яку форму SID у Windows; Найпоширенішим сценарієм є надання комусь дозволу на ресурс, а потім видалення облікового запису користувача. Потім SID з'явиться в списку ACL. Отже, давайте подивимося на типовий формат, в якому ви побачите SID в Windows.

    Нотація, яку ви побачите, приймає певний синтаксис. Нижче наведені різні частини SID.

    • Префікс "S"
    • Номер структури редакції
    • Значення повноважень 48-бітного ідентифікатора
    • Змінна кількість значень 32-розрядних підвладних або відносних ідентифікаторів (RID)

    Використовуючи мій SID на зображенні нижче, ми розіб'ємо різні розділи, щоб отримати краще розуміння.

    Структура SID:

    'S' - Перший компонент SID завжди є 'S'. Це префікс для всіх SID і є для того, щоб повідомити Windows, що наступним є SID.
    "1" - Другим компонентом SID є номер редакції специфікації SID. Якщо специфікація SID змінила б, це забезпечило б зворотну сумісність. У Windows 7 і Server 2008 R2 специфікація SID все ще перебуває у першій версії.
    "5" - Третій розділ SID називається уповноваженим ідентифікатором. Це визначає, в якому обсязі був створений SID. Можливими значеннями для цього розділу SID можуть бути:

    • 0 - Null Authority
    • 1 - Світовий орган
    • 2 - Місцева влада
    • 3 - Влада Творця
    • 4 - Невластивий орган
    • 5 - Влада NT

    "21" - Четвертий компонент є підвладним органом 1. Значення '21' використовується в четвертому полі, щоб вказати, що під-органи, які слідують, визначають локальну машину або домен.
    '1206375286-251249764-2214032401' - Вони називаються підвладними органами 2,3 і 4 відповідно. У нашому прикладі це використовується для ідентифікації локальної машини, але також може бути ідентифікатором домену.
    "1000" - Підвладність 5 є останнім компонентом нашого SID і називається RID (Relative Identifier). RID стосується кожного принципу безпеки: зауважте, що будь-які об'єкти, визначені користувачем, ті, які не поставляються корпорацією Майкрософт, матимуть RID 1000 або більше.

    Принципи безпеки

    Принцип безпеки - все, що має SID. Це можуть бути користувачі, комп'ютери і навіть групи. Принципи безпеки можуть бути локальними або бути в доменному контексті. Керувати місцевими принципами безпеки можна за допомогою оснащення "Локальні користувачі та групи" під керуванням комп'ютера. Щоб потрапити туди, клацніть правою кнопкою миші на ярлику комп'ютера в меню "Пуск" і виберіть "Керувати".

    Щоб додати новий принцип безпеки користувача, можна перейти до папки Користувачі та клацнути правою кнопкою миші та вибрати Новий користувач.

    Якщо двічі клацнути по користувачеві, ви можете додати їх до групи безпеки на вкладці Member Of.

    Щоб створити нову групу безпеки, перейдіть до папки "Групи" праворуч. Клацніть правою кнопкою миші на пробіл і виберіть New Group.

    Спільне використання дозволів та дозвіл NTFS

    У Windows існує два типи дозволів на файли та папки. По-перше, є дозвіл на спільний доступ. По-друге, існують дозволи NTFS, які також називаються дозволами безпеки. Захист спільних папок, як правило, здійснюється за допомогою комбінації дозволів спільного доступу та NTFS. Оскільки це так, важливо пам'ятати, що найбільш обмежувальний дозвіл завжди застосовується. Наприклад, якщо дозвіл на спільний доступ дає дозвіл на читання для всіх користувачів, але дозвіл NTFS дозволяє користувачам вносити зміни до файлу, дозвіл на спільний доступ матиме пріоритет, і користувачам не буде дозволено вносити зміни. Коли ви встановлюєте дозволи, LSASS (Local Security Authority) контролює доступ до ресурсу. Коли ви входите в систему, вам буде наданий маркер доступу з вашим SID. Коли ви йдете, щоб отримати доступ до ресурсу, LSASS порівнює SID, який ви додали до ACL (Список контролю доступу). Якщо SID знаходиться на ACL, він визначає, чи дозволити або заборонити доступ. Незалежно від того, які дозволи ви використовуєте, існують відмінності, тому давайте подивимося, щоб краще зрозуміти, коли ми повинні використовувати те, що.

    Права доступу:

    • Застосовувати лише до користувачів, які мають доступ до ресурсу через мережу. Вони не застосовуються, якщо ви входите локально, наприклад, через термінальні служби.
    • Він застосовується до всіх файлів і папок у спільному ресурсі. Якщо ви хочете надати більш деталізовану схему обмежень, ви повинні використовувати дозвіл NTFS на додаток до спільних дозволів
    • Якщо у вас є файли формату FAT або FAT32, це буде єдиною формою обмеження, доступною для вас, оскільки дозвіл NTFS недоступний для цих файлових систем.

    Дозволи NTFS:

    • Єдиним обмеженням до дозволів NTFS є те, що вони можуть бути встановлені лише на тому, який відформатований у файловій системі NTFS
    • Пам'ятайте, що права доступу NTFS є сукупними. Це означає, що ефективні дозволи користувача є результатом поєднання призначених користувачем дозволів і дозволів будь-яких груп, до яких користувач належить.

    Нові дозволи долі

    Windows 7 придбала нову «легку» техніку обміну. Параметри змінилися з режиму читання, зміни та повного контролю на читання та читання / запис. Ідея була частиною всього менталітету Homegroup і полегшує обмін папкою для некомп'ютерних грамотних людей. Це робиться за допомогою контекстного меню та легко ділиться з домашньою групою.

    Якщо ви хочете поділитися з ким-небудь, хто не знаходиться в домашній групі, ви завжди можете вибрати опцію "Специфічні люди ...". Це призведе до більш «складного» діалогу, в якому можна вказати користувача або групу.

    Є тільки два дозволу, як згадувалося раніше. Разом вони пропонують схему захисту або нічого для ваших папок і файлів.

    1. Читайте Дозвіл - це вигляд "не дивіться, не торкайтеся". Одержувачі можуть відкривати, але не змінювати або видаляти файл.
    2. Читати писати є опцією "зробити що-небудь". Одержувачі можуть відкривати, змінювати або видаляти файл.

    Дозвіл старої школи

    У старому діалоговому вікні спільного доступу було більше параметрів, наприклад, можливість спільного доступу до папки під іншим псевдонімом. Це дозволило нам обмежити кількість одночасних підключень, а також налаштувати кешування. Жодна з цих функцій не втрачається в Windows 7, а скоріше прихована під опцією "Advanced Sharing". Якщо ви клацнете правою кнопкою миші на папці та перейдіть до її властивостей, ви можете знайти ці настройки "Розширеного спільного доступу" на вкладці "Спільний доступ".

    Якщо натиснути кнопку "Розширене спільне використання", яка потребує облікових даних місцевих адміністраторів, можна налаштувати всі налаштування, які ви знайомі з попередніми версіями Windows.

    Якщо натиснути кнопку дозволів, вам буде запропоновано 3 налаштування, з якими ми всі знайомі.

      • Читайте Дозвіл дозволяє переглядати і відкривати файли і підкаталоги, а також виконувати програми. Однак це не дозволяє вносити будь-які зміни.
      • Змінити Дозвіл дозволяє робити що-небудь таке Читайте дозволяє дозвіл, а також додає можливість додавання файлів і підкаталогів, видалення підпапок і змінення даних у файлах.
      • Повний контроль це "зробити що-небудь" з класичних дозволів, оскільки це дозволяє вам робити всі попередні дозволи. Крім того, він надає додаткові зміни NTFS дозволу, але це стосується тільки папок NTFS

    Дозволи NTFS

    Дозволи NTFS дозволяють дуже детально контролювати ваші файли та папки. З урахуванням сказаного, кількість деталізації може бути складною для новачка. Ви також можете встановити дозвіл NTFS на основі кожного файлу, а також на основі папки. Щоб встановити дозвіл NTFS на файл, потрібно клацнути правою кнопкою миші та перейти до властивостей файлу, а потім перейти на вкладку безпеки.

    Щоб змінити дозвіл NTFS для користувача або групи, натисніть кнопку редагування.

    Як ви бачите, існує досить багато дозволів NTFS, так що давайте розберемо їх. По-перше, ми розглянемо дозвіл NTFS, який можна встановити у файлі.

    • Повний контроль дозволяє читати, писати, змінювати, виконувати, змінювати атрибути, дозволи та приймати права власності на файл.
    • Змінити дозволяє читати, писати, змінювати, виконувати і змінювати атрибути файлу.
    • Читати та виконувати дозволить вам відображати дані файлу, атрибути, власника та дозволи, а також запускати файл, якщо це програма.
    • Читайте дозволить вам відкрити файл, переглянути його атрибути, власника та дозволи.
    • Напишіть дозволить Вам записувати дані до файлу, додавати до файлу та читати або змінювати його атрибути.

    Дозволи NTFS для папок мають дещо інші варіанти, тому давайте подивимося на них.

    • Повний контроль дозволить читати, писати, змінювати та виконувати файли в папці, змінювати атрибути, дозволи та приймати на себе папку або файли в межах.
    • Змінити дозволить вам читати, писати, змінювати та виконувати файли в папці, а також змінювати атрибути папки або файлів усередині.
    • Читати та виконувати дозволить відображати вміст папки та відображати дані, атрибути, власника та дозволи для файлів у папці, а також запускати файли в папці.
    • Список вмісту папки дозволить відображати вміст папки та відображати дані, атрибути, власника та дозволи для файлів у папці, а також запускати файли в папці
    • Читайте дозволить вам відображати дані файлу, атрибути, власника та дозволи.
    • Напишіть дозволить Вам записувати дані до файлу, додавати до файлу та читати або змінювати його атрибути.

    Резюме

    Таким чином, імена користувачів і групи представляють алфавітно-цифровий рядок, який називається SID (Security Identifier). Дозволи на спільний доступ і NTFS прив'язані до цих SID. Дозволи на спільний доступ перевіряються LSSAS лише тоді, коли доступ здійснюється через мережу, тоді як права доступу NTFS поєднуються з дозволами спільного доступу, щоб дозволити більш детальний рівень безпеки ресурсів, доступ до яких здійснюється через мережу, а також локально.

    Доступ до спільного ресурсу

    Так що тепер, коли ми дізналися про два методи, які можна використовувати для обміну контентом на наших ПК, як ви дійсно йдете про доступ до нього через мережу? Це дуже просто. Просто введіть наступне в навігаційну панель.

    ім'я користувача sharename

    Примітка: Очевидно, вам доведеться замінити ім'я_комп'ютера на ім'я ПК, на якому розміщується частка і sharename для назви спільного ресурсу.

    Це відмінно підходить для одноразових з'єднань, але як у великому корпоративному середовищі? Звичайно, вам не доведеться навчати користувачів користуватися цим способом підключення до мережевого ресурсу. Щоб обійти це, ви бажаєте зіставити мережевий диск для кожного користувача, таким чином ви можете порадити їм зберігати свої документи на диску «H», а не намагатися пояснити, як підключитися до спільного ресурсу. Щоб зіставити диск, відкрийте Комп'ютер і натисніть кнопку "Карта мережевого диска".

    Потім просто введіть шлях UNC для спільного доступу.

    Ваш, напевно, цікаво, якщо ви повинні зробити це на кожному комп'ютері, і, на щастя, відповідь немає. Скоріше, ви можете написати пакетний сценарій для автоматичного зіставлення дисків для користувачів під час входу в систему і розгортання за допомогою групової політики.

    Якщо ми розкриваємо команду:

    • Ми використовуємо чистого використання команда для відображення диска.
    • Ми використовуємо * щоб позначити, що ми хочемо використовувати наступну доступну букву диска.
    • Нарешті ми вказати частку ми хочемо відобразити диск на. Зверніть увагу, що ми використовували лапки, оскільки шлях UNC містить пробіли.

    Шифрування файлів за допомогою файлової системи шифрування

    Windows включає можливість шифрування файлів на томі NTFS. Це означає, що тільки ви зможете розшифрувати файли та переглянути їх. Щоб зашифрувати файл, просто клацніть його правою кнопкою миші та виберіть властивості з контекстного меню.

    Потім натисніть на розширений.

    Тепер встановіть прапорець Зашифрувати вміст для захисту даних, а потім натисніть кнопку OK.

    Тепер виконайте налаштування.

    Нам потрібно тільки зашифрувати файл, але у вас є можливість шифрування батьківської папки.

    Зверніть увагу, що після того, як файл зашифровано, він стане зеленим.

    Тепер ви помітите, що тільки ви зможете відкрити файл і інші користувачі на одному комп'ютері не зможуть. Процес шифрування використовує шифрування відкритим ключем, тому зберігайте ключі шифрування в безпеці. Якщо ви втратите їх, файл зникне, і його неможливо відновити.

    Домашнє завдання

    • Дізнайтеся про успадкування дозволів та ефективні дозволи.
    • Прочитайте цей документ Microsoft.
    • Дізнайтеся, чому ви хочете використовувати BranchCache.
    • Дізнайтеся, як спільно використовувати принтери та чому ви бажаєте.