Geek School Learning Windows 7 - доступ к ресурсам
В этой установке Geek School мы рассмотрим виртуализацию папок, SID и разрешения, а также шифрованную файловую систему..
Обязательно ознакомьтесь с предыдущими статьями этой серии Geek School по Windows 7:
- Представляем How-To Geek School
- Обновления и Миграции
- Конфигурирование устройств
- Управляющие Диски
- Управление приложениями
- Управление Internet Explorer
- Основы IP-адресации
- сетей
- Беспроводная сеть
- Брандмауэр Windows
- Удаленное администрирование
- Удаленный доступ
- Мониторинг, производительность и поддержание Windows в актуальном состоянии
И оставайтесь с нами до конца сериала всю эту неделю.
Виртуализация папок
В Windows 7 введено понятие библиотек, которое позволяет вам иметь централизованное расположение, из которого вы можете просматривать ресурсы, расположенные в другом месте на вашем компьютере. Более конкретно, функция библиотек позволила вам добавлять папки из любого места на вашем компьютере в одну из четырех стандартных библиотек: «Документы», «Музыка», «Видео» и «Изображения», которые легко доступны из панели навигации Проводника Windows..
Следует отметить две важные вещи, касающиеся библиотечной функции:
- Когда вы добавляете папку в библиотеку, сама папка не перемещается, скорее создается ссылка на местоположение папки.
- Чтобы добавить сетевой ресурс в ваши библиотеки, он должен быть доступен в автономном режиме, хотя вы также можете использовать обходные пути, используя символические ссылки..
Чтобы добавить папку в библиотеку, просто войдите в библиотеку и нажмите на ссылку местоположения.
Затем нажмите кнопку Добавить.
Теперь найдите папку, которую хотите включить в библиотеку, и нажмите кнопку «Включить папку»..
Это все, что нужно сделать.
Идентификатор безопасности
Операционная система Windows использует SID для представления всех принципов безопасности. SID - это просто строки алфавитно-цифровых символов переменной длины, которые представляют машины, пользователей и группы. SID добавляются в ACL (списки контроля доступа) каждый раз, когда вы предоставляете пользователю или группе разрешение на файл или папку. За кулисами SID хранятся так же, как и все остальные объекты данных: в двоичном виде. Однако, когда вы видите SID в Windows, он будет отображаться с использованием более удобочитаемого синтаксиса. Это не часто, что вы увидите любую форму SID в Windows; Наиболее распространенный сценарий - когда вы предоставляете кому-то разрешение на доступ к ресурсу, а затем удаляете его учетную запись. SID будет отображаться в ACL. Итак, давайте посмотрим на типичный формат, в котором вы увидите SID в Windows.
Обозначение, которое вы увидите, имеет определенный синтаксис. Ниже приведены различные части SID.
- Префикс 'S'
- Номер редакции структуры
- Значение авторитетного 48-битного идентификатора
- Переменное число значений 32-битного суб-авторитета или относительного идентификатора (RID)
Используя мой SID на изображении ниже, мы разбиваем различные разделы, чтобы лучше понять.
Структура SID:
'S' - Первым компонентом SID всегда является «S». Это префикс для всех идентификаторов безопасности и существует для информирования Windows о том, что следует за SID.
'1' - Вторым компонентом SID является номер редакции спецификации SID. Если спецификация SID должна была измениться, это обеспечило бы обратную совместимость. Начиная с Windows 7 и Server 2008 R2, спецификация SID все еще находится в первой редакции.
'5' - Третий раздел SID называется органом идентификации. Это определяет, в какой области был создан SID. Возможные значения для этого раздела SID могут быть:
- 0 - нулевой орган
- 1 - Мировой авторитет
- 2 - Местная власть
- 3 - Создатель власти
- 4 - Неуникальный орган
- 5 - NT Authority
'21' - Четвертый компонент - это суб-полномочия 1. Значение «21» используется в четвертом поле, чтобы указать, что последующие суб-власти определяют локальный компьютер или домен..
'1206375286-251249764-2214032401' - Они называются подчиненными органами власти 2,3 и 4 соответственно. В нашем примере это используется для идентификации локальной машины, но также может быть идентификатором для домена.
'1000' - Подраздел 5 является последним компонентом нашего идентификатора безопасности и называется RID (относительный идентификатор). RID относится к каждому принципу безопасности: обратите внимание, что любые определенные пользователем объекты, те, которые не поставляются Microsoft, будут иметь RID 1000 или более.
Принципы безопасности
Принцип безопасности - это все, к чему привязан SID. Это могут быть пользователи, компьютеры и даже группы. Принципы безопасности могут быть локальными или находиться в контексте домена. Вы управляете принципами локальной безопасности с помощью оснастки «Локальные пользователи и группы» под управлением компьютера. Чтобы попасть туда, щелкните правой кнопкой мыши ярлык компьютера в меню «Пуск» и выберите «Управление»..
Чтобы добавить новый принцип безопасности пользователя, вы можете перейти в папку «Пользователи» и щелкнуть правой кнопкой мыши и выбрать «Новый пользователь»..
Если дважды щелкнуть пользователя, вы можете добавить его в группу безопасности на вкладке «Член»..
Чтобы создать новую группу безопасности, перейдите в папку «Группы» с правой стороны. Щелкните правой кнопкой мыши на пустом месте и выберите New Group.
Разрешения общего доступа и разрешение NTFS
В Windows есть два типа прав доступа к файлам и папкам. Во-первых, есть разрешения на общий доступ. Во-вторых, есть разрешения NTFS, которые также называются разрешениями безопасности. Защита общих папок обычно выполняется с помощью комбинации прав доступа и NTFS. Поскольку это так, важно помнить, что всегда применяется самое ограничительное разрешение. Например, если разрешение общего ресурса дает разрешение на чтение принципу безопасности «Все», но разрешение NTFS позволяет пользователям вносить изменения в файл, разрешение общего ресурса будет иметь приоритет, и пользователям не будет разрешено вносить изменения. Когда вы устанавливаете разрешения, LSASS (Local Security Authority) контролирует доступ к ресурсу. Когда вы входите в систему, вы получаете токен доступа с вашим SID на нем. Когда вы обращаетесь к ресурсу, LSASS сравнивает SID, который вы добавили в ACL (список контроля доступа). Если SID находится в ACL, он определяет, разрешить или запретить доступ. Независимо от того, какие разрешения вы используете, есть различия, поэтому давайте посмотрим, чтобы лучше понять, когда мы должны использовать то, что.
Share Permissions:
- Применяется только к пользователям, которые получают доступ к ресурсу через сеть. Они не применяются, если вы входите в систему локально, например, через терминальные службы.
- Это относится ко всем файлам и папкам в общем ресурсе. Если вы хотите предоставить более детальную схему ограничений, вы должны использовать разрешение NTFS в дополнение к общим разрешениям.
- Если у вас есть отформатированные тома FAT или FAT32, это будет единственной доступной вам формой ограничения, так как разрешения NTFS недоступны в этих файловых системах..
NTFS Permissions:
- Единственное ограничение на разрешения NTFS заключается в том, что они могут быть установлены только на томе, отформатированном в файловой системе NTFS.
- Помните, что разрешения NTFS накапливаются. Это означает, что эффективные разрешения пользователя являются результатом объединения назначенных пользователю разрешений и разрешений любых групп, к которым принадлежит пользователь..
Новые разрешения для общего ресурса
Windows 7 куплена по новой «легкой» технологии обмена. Параметры изменились с Чтение, Изменить и Полный доступ на Чтение и Чтение / Запись. Идея была частью всей ментальности Homegroup и позволяет легко делиться папкой для людей, не обладающих компьютерной грамотностью. Это делается через контекстное меню и легко делится с вашей домашней группой..
Если вы хотите поделиться с кем-то, кто не входит в домашнюю группу, вы всегда можете выбрать опцию «Конкретные люди…». Что вызовет более «сложный» диалог, в котором вы можете указать пользователя или группу.
Есть только два разрешения, как упоминалось ранее. Вместе они предлагают полную или нулевую схему защиты ваших папок и файлов..
- Читать разрешение - это опция «смотри, не трогай». Получатели могут открывать, но не изменять или удалять файл.
- Читай пиши это вариант «сделать что-нибудь». Получатели могут открыть, изменить или удалить файл.
Разрешение старой школы
В старом диалоговом окне общего доступа было больше параметров, таких как возможность общего доступа к папке под другим псевдонимом. Это позволило нам ограничить количество одновременных подключений, а также настроить кеширование. Ни одна из этих функций не потеряна в Windows 7, а скорее скрыта под опцией, называемой «Расширенный общий доступ». Если вы щелкнете правой кнопкой мыши по папке и перейдете к ее свойствам, вы можете найти эти настройки «Расширенный общий доступ» на вкладке общего доступа..
Если вы нажмете кнопку «Расширенный общий доступ», для которой требуются учетные данные локального администратора, вы сможете настроить все параметры, с которыми вы были знакомы в предыдущих версиях Windows..
Если вы нажмете кнопку разрешений, вы увидите 3 настройки, с которыми мы все знакомы.
- Читать Разрешение позволяет просматривать и открывать файлы и подкаталоги, а также запускать приложения. Однако это не позволяет вносить какие-либо изменения.
- изменять разрешение позволяет вам делать все, что Читать разрешение позволяет, а также добавляет возможность добавлять файлы и подкаталоги, удалять подпапки и изменять данные в файлах.
- Полный контроль это «сделать что-нибудь» из классических разрешений, так как оно позволяет вам выполнять любые и все предыдущие разрешения. Кроме того, он предоставляет расширенные возможности изменения разрешения NTFS, но это применимо только к папкам NTFS.
Разрешения NTFS
Разрешения NTFS позволяют очень детально контролировать ваши файлы и папки. С учетом сказанного, степень детализации может быть пугающим для новичка. Вы также можете установить разрешение NTFS для каждого файла, а также для каждой папки. Чтобы установить NTFS Permission для файла, вы должны щелкнуть правой кнопкой мыши и перейти к свойствам файла, а затем перейти на вкладку безопасности.
Чтобы изменить разрешения NTFS для пользователя или группы, нажмите кнопку редактирования..
Как видите, у NTFS достаточно много разрешений, поэтому давайте разберем их. Сначала мы посмотрим на разрешения NTFS, которые вы можете установить для файла..
- Полный контроль позволяет читать, писать, изменять, выполнять, изменять атрибуты, права доступа и владеть файлом.
- изменять позволяет читать, писать, изменять, выполнять и изменять атрибуты файла.
- Читать и выполнить позволит вам отобразить данные файла, атрибуты, владельца и разрешения, а также запустить файл, если это программа.
- Читать позволит вам открыть файл, просмотреть его атрибуты, владельца и разрешения.
- Написать позволит вам записать данные в файл, добавить в файл, а также прочитать или изменить его атрибуты.
Разрешения NTFS для папок имеют несколько разные параметры, поэтому давайте рассмотрим их.
- Полный контроль позволит вам читать, записывать, изменять и выполнять файлы в папке, изменять атрибуты, разрешения и вступать во владение папкой или файлами внутри.
- изменять позволит вам читать, писать, изменять и выполнять файлы в папке, а также изменять атрибуты папки или файлов в.
- Читать и выполнить позволит вам отображать содержимое папки и отображать данные, атрибуты, владельца и разрешения для файлов в папке, а также запускать файлы в папке.
- Список содержимого папки позволит вам отображать содержимое папки и отображать данные, атрибуты, владельца и разрешения для файлов в папке, а также запускать файлы в папке
- Читать позволит вам отображать данные файла, атрибуты, владельца и разрешения.
- Написать позволит вам записать данные в файл, добавить в файл, а также прочитать или изменить его атрибуты.
Резюме
Таким образом, имена пользователей и группы представляют собой буквенно-цифровую строку, называемую SID (идентификатор безопасности). Разрешения общего ресурса и NTFS привязаны к этим идентификаторам безопасности. Разрешения общего ресурса проверяются LSSAS только при доступе по сети, в то время как разрешения NTFS объединяются с разрешениями общего ресурса, чтобы обеспечить более детальный уровень безопасности для ресурсов, доступных как по сети, так и локально..
Доступ к общему ресурсу
Итак, теперь, когда мы узнали о двух методах, которые мы можем использовать для обмена контентом на наших ПК, как вы фактически получаете доступ к нему по сети? Это очень просто. Просто введите следующее в панель навигации.
\\ имя_компьютера \ имя_общего_ресурса
Примечание. Очевидно, что вам нужно будет заменить имя компьютера на имя компьютера, на котором размещен ресурс, и имя общего ресурса на имя ресурса..
Это отлично подходит для разовых подключений, но как насчет большей корпоративной среды? Конечно, вам не нужно учить своих пользователей, как подключиться к сетевому ресурсу, используя этот метод. Чтобы обойти это, вам нужно сопоставить сетевой диск для каждого пользователя, таким образом вы можете посоветовать им хранить свои документы на диске «H», а не пытаться объяснить, как подключиться к общему ресурсу. Чтобы подключить диск, откройте компьютер и нажмите кнопку «Подключить сетевой диск».
Затем просто введите UNC-путь к общему ресурсу.
Вам, наверное, интересно, нужно ли это делать на каждом ПК, и, к счастью, ответ - нет. Скорее, вы можете написать пакетный скрипт для автоматического сопоставления дисков для ваших пользователей при входе в систему и развертывания его с помощью групповой политики..
Если мы рассмотрим команду:
- Мы используем чистое использование команда для сопоставления диска.
- Мы используем * обозначить, что мы хотим использовать следующую доступную букву диска.
- Наконец мы указать долю мы хотим сопоставить диск с. Обратите внимание, что мы использовали кавычки, потому что путь UNC содержит пробелы.
Шифрование файлов с использованием шифрованной файловой системы
В Windows предусмотрена возможность шифрования файлов на томе NTFS. Это означает, что только вы сможете расшифровать файлы и просмотреть их. Чтобы зашифровать файл, просто щелкните по нему правой кнопкой мыши и выберите свойства в контекстном меню..
Затем нажмите на расширенный.
Теперь установите флажок Зашифровать содержимое для защиты данных и нажмите кнопку ОК..
Теперь действуйте и примените настройки.
Нам нужно только зашифровать файл, но у вас есть возможность зашифровать родительскую папку..
Обратите внимание, что после того, как файл зашифрован, он становится зеленым.
Теперь вы заметите, что только вы сможете открыть файл, а другие пользователи на том же компьютере не смогут. В процессе шифрования используется шифрование с открытым ключом, поэтому храните свои ключи шифрования в безопасности. Если вы потеряете их, ваш файл исчезнет, и восстановить его невозможно.
Домашнее задание
- Узнайте о наследовании разрешений и действующих разрешениях.
- Прочитайте этот документ Microsoft.
- Узнайте, почему вы хотите использовать BranchCache.
- Узнайте, как поделиться принтерами и почему вы хотите.