Домашняя » как » Geek School Learning Windows 7 - доступ к ресурсам

    Geek School Learning Windows 7 - доступ к ресурсам

    В этой установке Geek School мы рассмотрим виртуализацию папок, SID и разрешения, а также шифрованную файловую систему..

    Обязательно ознакомьтесь с предыдущими статьями этой серии Geek School по Windows 7:

    • Представляем How-To Geek School
    • Обновления и Миграции
    • Конфигурирование устройств
    • Управляющие Диски
    • Управление приложениями
    • Управление Internet Explorer
    • Основы IP-адресации
    • сетей
    • Беспроводная сеть
    • Брандмауэр Windows
    • Удаленное администрирование
    • Удаленный доступ
    • Мониторинг, производительность и поддержание Windows в актуальном состоянии

    И оставайтесь с нами до конца сериала всю эту неделю.

    Виртуализация папок

    В Windows 7 введено понятие библиотек, которое позволяет вам иметь централизованное расположение, из которого вы можете просматривать ресурсы, расположенные в другом месте на вашем компьютере. Более конкретно, функция библиотек позволила вам добавлять папки из любого места на вашем компьютере в одну из четырех стандартных библиотек: «Документы», «Музыка», «Видео» и «Изображения», которые легко доступны из панели навигации Проводника Windows..

    Следует отметить две важные вещи, касающиеся библиотечной функции:

    • Когда вы добавляете папку в библиотеку, сама папка не перемещается, скорее создается ссылка на местоположение папки.
    • Чтобы добавить сетевой ресурс в ваши библиотеки, он должен быть доступен в автономном режиме, хотя вы также можете использовать обходные пути, используя символические ссылки..

    Чтобы добавить папку в библиотеку, просто войдите в библиотеку и нажмите на ссылку местоположения.

    Затем нажмите кнопку Добавить.

    Теперь найдите папку, которую хотите включить в библиотеку, и нажмите кнопку «Включить папку»..

    Это все, что нужно сделать.

    Идентификатор безопасности

    Операционная система Windows использует SID для представления всех принципов безопасности. SID - это просто строки алфавитно-цифровых символов переменной длины, которые представляют машины, пользователей и группы. SID добавляются в ACL (списки контроля доступа) каждый раз, когда вы предоставляете пользователю или группе разрешение на файл или папку. За кулисами SID хранятся так же, как и все остальные объекты данных: в двоичном виде. Однако, когда вы видите SID в Windows, он будет отображаться с использованием более удобочитаемого синтаксиса. Это не часто, что вы увидите любую форму SID в Windows; Наиболее распространенный сценарий - когда вы предоставляете кому-то разрешение на доступ к ресурсу, а затем удаляете его учетную запись. SID будет отображаться в ACL. Итак, давайте посмотрим на типичный формат, в котором вы увидите SID в Windows.

    Обозначение, которое вы увидите, имеет определенный синтаксис. Ниже приведены различные части SID.

    • Префикс 'S'
    • Номер редакции структуры
    • Значение авторитетного 48-битного идентификатора
    • Переменное число значений 32-битного суб-авторитета или относительного идентификатора (RID)

    Используя мой SID на изображении ниже, мы разбиваем различные разделы, чтобы лучше понять.

    Структура SID:

    'S' - Первым компонентом SID всегда является «S». Это префикс для всех идентификаторов безопасности и существует для информирования Windows о том, что следует за SID.
    '1' - Вторым компонентом SID является номер редакции спецификации SID. Если спецификация SID должна была измениться, это обеспечило бы обратную совместимость. Начиная с Windows 7 и Server 2008 R2, спецификация SID все еще находится в первой редакции.
    '5' - Третий раздел SID называется органом идентификации. Это определяет, в какой области был создан SID. Возможные значения для этого раздела SID могут быть:

    • 0 - нулевой орган
    • 1 - Мировой авторитет
    • 2 - Местная власть
    • 3 - Создатель власти
    • 4 - Неуникальный орган
    • 5 - NT Authority

    '21' - Четвертый компонент - это суб-полномочия 1. Значение «21» используется в четвертом поле, чтобы указать, что последующие суб-власти определяют локальный компьютер или домен..
    '1206375286-251249764-2214032401' - Они называются подчиненными органами власти 2,3 и 4 соответственно. В нашем примере это используется для идентификации локальной машины, но также может быть идентификатором для домена.
    '1000' - Подраздел 5 является последним компонентом нашего идентификатора безопасности и называется RID (относительный идентификатор). RID относится к каждому принципу безопасности: обратите внимание, что любые определенные пользователем объекты, те, которые не поставляются Microsoft, будут иметь RID 1000 или более.

    Принципы безопасности

    Принцип безопасности - это все, к чему привязан SID. Это могут быть пользователи, компьютеры и даже группы. Принципы безопасности могут быть локальными или находиться в контексте домена. Вы управляете принципами локальной безопасности с помощью оснастки «Локальные пользователи и группы» под управлением компьютера. Чтобы попасть туда, щелкните правой кнопкой мыши ярлык компьютера в меню «Пуск» и выберите «Управление»..

    Чтобы добавить новый принцип безопасности пользователя, вы можете перейти в папку «Пользователи» и щелкнуть правой кнопкой мыши и выбрать «Новый пользователь»..

    Если дважды щелкнуть пользователя, вы можете добавить его в группу безопасности на вкладке «Член»..

    Чтобы создать новую группу безопасности, перейдите в папку «Группы» с правой стороны. Щелкните правой кнопкой мыши на пустом месте и выберите New Group.

    Разрешения общего доступа и разрешение NTFS

    В Windows есть два типа прав доступа к файлам и папкам. Во-первых, есть разрешения на общий доступ. Во-вторых, есть разрешения NTFS, которые также называются разрешениями безопасности. Защита общих папок обычно выполняется с помощью комбинации прав доступа и NTFS. Поскольку это так, важно помнить, что всегда применяется самое ограничительное разрешение. Например, если разрешение общего ресурса дает разрешение на чтение принципу безопасности «Все», но разрешение NTFS позволяет пользователям вносить изменения в файл, разрешение общего ресурса будет иметь приоритет, и пользователям не будет разрешено вносить изменения. Когда вы устанавливаете разрешения, LSASS (Local Security Authority) контролирует доступ к ресурсу. Когда вы входите в систему, вы получаете токен доступа с вашим SID на нем. Когда вы обращаетесь к ресурсу, LSASS сравнивает SID, который вы добавили в ACL (список контроля доступа). Если SID находится в ACL, он определяет, разрешить или запретить доступ. Независимо от того, какие разрешения вы используете, есть различия, поэтому давайте посмотрим, чтобы лучше понять, когда мы должны использовать то, что.

    Share Permissions:

    • Применяется только к пользователям, которые получают доступ к ресурсу через сеть. Они не применяются, если вы входите в систему локально, например, через терминальные службы.
    • Это относится ко всем файлам и папкам в общем ресурсе. Если вы хотите предоставить более детальную схему ограничений, вы должны использовать разрешение NTFS в дополнение к общим разрешениям.
    • Если у вас есть отформатированные тома FAT или FAT32, это будет единственной доступной вам формой ограничения, так как разрешения NTFS недоступны в этих файловых системах..

    NTFS Permissions:

    • Единственное ограничение на разрешения NTFS заключается в том, что они могут быть установлены только на томе, отформатированном в файловой системе NTFS.
    • Помните, что разрешения NTFS накапливаются. Это означает, что эффективные разрешения пользователя являются результатом объединения назначенных пользователю разрешений и разрешений любых групп, к которым принадлежит пользователь..

    Новые разрешения для общего ресурса

    Windows 7 куплена по новой «легкой» технологии обмена. Параметры изменились с Чтение, Изменить и Полный доступ на Чтение и Чтение / Запись. Идея была частью всей ментальности Homegroup и позволяет легко делиться папкой для людей, не обладающих компьютерной грамотностью. Это делается через контекстное меню и легко делится с вашей домашней группой..

    Если вы хотите поделиться с кем-то, кто не входит в домашнюю группу, вы всегда можете выбрать опцию «Конкретные люди…». Что вызовет более «сложный» диалог, в котором вы можете указать пользователя или группу.

    Есть только два разрешения, как упоминалось ранее. Вместе они предлагают полную или нулевую схему защиты ваших папок и файлов..

    1. Читать разрешение - это опция «смотри, не трогай». Получатели могут открывать, но не изменять или удалять файл.
    2. Читай пиши это вариант «сделать что-нибудь». Получатели могут открыть, изменить или удалить файл.

    Разрешение старой школы

    В старом диалоговом окне общего доступа было больше параметров, таких как возможность общего доступа к папке под другим псевдонимом. Это позволило нам ограничить количество одновременных подключений, а также настроить кеширование. Ни одна из этих функций не потеряна в Windows 7, а скорее скрыта под опцией, называемой «Расширенный общий доступ». Если вы щелкнете правой кнопкой мыши по папке и перейдете к ее свойствам, вы можете найти эти настройки «Расширенный общий доступ» на вкладке общего доступа..

    Если вы нажмете кнопку «Расширенный общий доступ», для которой требуются учетные данные локального администратора, вы сможете настроить все параметры, с которыми вы были знакомы в предыдущих версиях Windows..

    Если вы нажмете кнопку разрешений, вы увидите 3 настройки, с которыми мы все знакомы.

      • Читать Разрешение позволяет просматривать и открывать файлы и подкаталоги, а также запускать приложения. Однако это не позволяет вносить какие-либо изменения.
      • изменять разрешение позволяет вам делать все, что Читать разрешение позволяет, а также добавляет возможность добавлять файлы и подкаталоги, удалять подпапки и изменять данные в файлах.
      • Полный контроль это «сделать что-нибудь» из классических разрешений, так как оно позволяет вам выполнять любые и все предыдущие разрешения. Кроме того, он предоставляет расширенные возможности изменения разрешения NTFS, но это применимо только к папкам NTFS.

    Разрешения NTFS

    Разрешения NTFS позволяют очень детально контролировать ваши файлы и папки. С учетом сказанного, степень детализации может быть пугающим для новичка. Вы также можете установить разрешение NTFS для каждого файла, а также для каждой папки. Чтобы установить NTFS Permission для файла, вы должны щелкнуть правой кнопкой мыши и перейти к свойствам файла, а затем перейти на вкладку безопасности.

    Чтобы изменить разрешения NTFS для пользователя или группы, нажмите кнопку редактирования..

    Как видите, у NTFS достаточно много разрешений, поэтому давайте разберем их. Сначала мы посмотрим на разрешения NTFS, которые вы можете установить для файла..

    • Полный контроль позволяет читать, писать, изменять, выполнять, изменять атрибуты, права доступа и владеть файлом.
    • изменять позволяет читать, писать, изменять, выполнять и изменять атрибуты файла.
    • Читать и выполнить позволит вам отобразить данные файла, атрибуты, владельца и разрешения, а также запустить файл, если это программа.
    • Читать позволит вам открыть файл, просмотреть его атрибуты, владельца и разрешения.
    • Написать позволит вам записать данные в файл, добавить в файл, а также прочитать или изменить его атрибуты.

    Разрешения NTFS для папок имеют несколько разные параметры, поэтому давайте рассмотрим их.

    • Полный контроль позволит вам читать, записывать, изменять и выполнять файлы в папке, изменять атрибуты, разрешения и вступать во владение папкой или файлами внутри.
    • изменять позволит вам читать, писать, изменять и выполнять файлы в папке, а также изменять атрибуты папки или файлов в.
    • Читать и выполнить позволит вам отображать содержимое папки и отображать данные, атрибуты, владельца и разрешения для файлов в папке, а также запускать файлы в папке.
    • Список содержимого папки позволит вам отображать содержимое папки и отображать данные, атрибуты, владельца и разрешения для файлов в папке, а также запускать файлы в папке
    • Читать позволит вам отображать данные файла, атрибуты, владельца и разрешения.
    • Написать позволит вам записать данные в файл, добавить в файл, а также прочитать или изменить его атрибуты.

    Резюме

    Таким образом, имена пользователей и группы представляют собой буквенно-цифровую строку, называемую SID (идентификатор безопасности). Разрешения общего ресурса и NTFS привязаны к этим идентификаторам безопасности. Разрешения общего ресурса проверяются LSSAS только при доступе по сети, в то время как разрешения NTFS объединяются с разрешениями общего ресурса, чтобы обеспечить более детальный уровень безопасности для ресурсов, доступных как по сети, так и локально..

    Доступ к общему ресурсу

    Итак, теперь, когда мы узнали о двух методах, которые мы можем использовать для обмена контентом на наших ПК, как вы фактически получаете доступ к нему по сети? Это очень просто. Просто введите следующее в панель навигации.

    \\ имя_компьютера \ имя_общего_ресурса

    Примечание. Очевидно, что вам нужно будет заменить имя компьютера на имя компьютера, на котором размещен ресурс, и имя общего ресурса на имя ресурса..

    Это отлично подходит для разовых подключений, но как насчет большей корпоративной среды? Конечно, вам не нужно учить своих пользователей, как подключиться к сетевому ресурсу, используя этот метод. Чтобы обойти это, вам нужно сопоставить сетевой диск для каждого пользователя, таким образом вы можете посоветовать им хранить свои документы на диске «H», а не пытаться объяснить, как подключиться к общему ресурсу. Чтобы подключить диск, откройте компьютер и нажмите кнопку «Подключить сетевой диск».

    Затем просто введите UNC-путь к общему ресурсу.

    Вам, наверное, интересно, нужно ли это делать на каждом ПК, и, к счастью, ответ - нет. Скорее, вы можете написать пакетный скрипт для автоматического сопоставления дисков для ваших пользователей при входе в систему и развертывания его с помощью групповой политики..

    Если мы рассмотрим команду:

    • Мы используем чистое использование команда для сопоставления диска.
    • Мы используем * обозначить, что мы хотим использовать следующую доступную букву диска.
    • Наконец мы указать долю мы хотим сопоставить диск с. Обратите внимание, что мы использовали кавычки, потому что путь UNC содержит пробелы.

    Шифрование файлов с использованием шифрованной файловой системы

    В Windows предусмотрена возможность шифрования файлов на томе NTFS. Это означает, что только вы сможете расшифровать файлы и просмотреть их. Чтобы зашифровать файл, просто щелкните по нему правой кнопкой мыши и выберите свойства в контекстном меню..

    Затем нажмите на расширенный.

    Теперь установите флажок Зашифровать содержимое для защиты данных и нажмите кнопку ОК..

    Теперь действуйте и примените настройки.

    Нам нужно только зашифровать файл, но у вас есть возможность зашифровать родительскую папку..

    Обратите внимание, что после того, как файл зашифрован, он становится зеленым.

    Теперь вы заметите, что только вы сможете открыть файл, а другие пользователи на том же компьютере не смогут. В процессе шифрования используется шифрование с открытым ключом, поэтому храните свои ключи шифрования в безопасности. Если вы потеряете их, ваш файл исчезнет, ​​и восстановить его невозможно.

    Домашнее задание

    • Узнайте о наследовании разрешений и действующих разрешениях.
    • Прочитайте этот документ Microsoft.
    • Узнайте, почему вы хотите использовать BranchCache.
    • Узнайте, как поделиться принтерами и почему вы хотите.