Geek Šola učenje Windows 7 - Resource Access
V tej namestitvi Geek šole si bomo ogledali virtualizacijo map, SID in dovoljenje ter šifrirni datotečni sistem..
Bodite prepričani, da preverite prejšnje članke v tej seriji Geek School na Windows 7:
- Predstavljamo How-To Geek School
- Nadgradnje in migracije
- Konfiguriranje naprav
- Upravljanje diskov
- Upravljanje aplikacij
- Upravljanje Internet Explorerja
- Osnove IP naslova
- Mreženje
- Brezžično omrežje
- Požarni zid Windows
- Oddaljeno upravljanje
- Oddaljen dostop
- Spremljanje, zmogljivost in ohranjanje Windows do datuma
In ostanite z nami do konca tega tedna.
Virtualizacija map
Windows 7 je uvedel pojem knjižnic, ki vam je omogočil, da imate centralizirano lokacijo, s katere si lahko ogledate vire, ki se nahajajo drugje v računalniku. Natančneje, funkcija knjižnice vam je omogočila, da dodate mape s katerega koli mesta v računalniku v eno od štirih privzetih knjižnic, dokumentov, glasbe, videoposnetkov in slik, ki so zlahka dostopne iz podokna za krmarjenje v Raziskovalcu..
O funkciji knjižnice je treba upoštevati dve pomembni stvari:
- Ko mapo dodate v knjižnico, se sama mapa ne premakne, temveč se na mesto mape ustvari povezava.
- Če želite svojim knjižnicam dodati omrežno skupno rabo, mora biti na voljo brez povezave, čeprav lahko uporabite tudi delo s simbolnimi povezavami..
Če želite dodati mapo v knjižnico, se pomaknite v knjižnico in kliknite povezavo lokacije.
Nato kliknite gumb Dodaj.
Zdaj poiščite mapo, ki jo želite vključiti v knjižnico, in kliknite gumb Vključi mapo.
To je vse.
Identifikator varnosti
Operacijski sistem Windows uporablja SID za predstavitev vseh načel varnosti. SID-i so le spremenljive dolžine nizov alfanumeričnih znakov, ki predstavljajo stroje, uporabnike in skupine. SID se dodajo ACL (seznami nadzora dostopa) vsakič, ko uporabniku ali skupini podelite dovoljenje za datoteko ali mapo. Za kulisami so SID shranjeni enako kot vsi drugi podatkovni objekti: v binarni. Vendar, ko v operacijskem sistemu Windows vidite SID, bo prikazana z bolj berljivo sintakso. V operacijskem sistemu Windows pogosto ne vidite nobene oblike SID; najpogostejši scenarij je, ko nekomu dovolite vir, nato izbrišete njegov uporabniški račun. SID se bo nato prikazal v ACL. Torej, si oglejte tipično obliko, v kateri boste videli SID v Windows.
Oznaka, ki jo boste videli, ima določeno sintakso. Spodaj so navedeni različni deli SID.
- Predpona 'S'
- Številka revizije strukture
- 48-bitna vrednost pooblastila identifikatorja
- Spremenljivo število vrednosti 32-bitnih podregulacij ali relativnih identifikatorjev (RID)
Z uporabo mojega SID-a na spodnji sliki bomo razdelili različne odseke, da bomo bolje razumeli.
Struktura SID:
"S" - Prva komponenta SID je vedno 'S'. To je predpona vseh SID-jev in je tam, da Windows sporoči, da sledi SID.
»1« - Druga komponenta SID je številka revizije specifikacije SID. Če bi se spremenila specifikacija SID, bi to zagotovilo združljivost nazaj. V sistemu Windows 7 in Server 2008 R2 je specifikacija SID še vedno v prvi reviziji.
»5« - Tretji del SID se imenuje pooblastilo Identifier. To določa, v katerem obsegu je bil generiran SID. Možne vrednosti za te dele SID so lahko:
- 0 - Null Authority
- 1 - Svetovna oblast
- 2 - Lokalna oblast
- 3 - Ustvarjalno telo
- 4 - Neenotni organ
- 5 - Pristojnost NT
"21" - Četrta komponenta je pod-pooblastilo 1. Vrednost '21' se uporablja v četrtem polju, da se določi, da pod-organi, ki sledijo, identificirajo lokalno napravo ali domeno.
"1206375286-251249764-2214032401" - Ti se imenujejo podregulacija 2,3 in 4. V našem primeru se to uporablja za identifikacijo lokalnega računalnika, lahko pa je tudi identifikator za domeno.
"1000" - Sub-organ 5 je zadnja komponenta v našem SID-u in se imenuje RID (Relative Identifier). RID se nanaša na vsako načelo zaščite: upoštevajte, da bodo imeli vsi uporabniško definirani objekti, ki jih Microsoft ne pošlje, RID 1000 ali več.
Načela varnosti
Načelo varnosti je vse, kar ima na njem pritrjen SID. To so lahko uporabniki, računalniki in celo skupine. Varnostna načela so lahko lokalna ali v domeni. Lokalna varnostna načela upravljate prek snap-ina Lokalni uporabniki in skupine, v računalniškem upravljanju. Če želite priti tja, z desno miškino tipko kliknite bližnjico računalnika v začetnem meniju in izberite Upravljanje.
Če želite dodati novo načelo varnosti uporabnika, lahko obiščete mapo Uporabniki in z desno miškino tipko izberete New User.
Če dvokliknete uporabnika, jih lahko dodate na varnostno skupino na kartici Članica.
Če želite ustvariti novo varnostno skupino, se pomaknite do mape Skupine na desni strani. Z desno miškino tipko kliknite prazen prostor in izberite Nova skupina.
Dovoli dovoljenja in dovoljenje NTFS
V operacijskem sistemu Windows sta dve vrsti dovoljenj za datoteke in mape. Prvič, obstajajo dovoljenja za skupno rabo. Drugič, obstajajo dovoljenja NTFS, ki se imenujejo tudi varnostna dovoljenja. Zaščita skupnih map je običajno narejena s kombinacijo dovoljenj Share in NTFS. Ker je to res, je pomembno vedeti, da velja najbolj omejevalno dovoljenje. Na primer, če dovoljenje za skupno rabo daje načelu varnosti za branje za vsakogar, vendar dovoljenje NTFS omogoča uporabnikom, da spremenijo datoteko, bo imelo dovoljenje za skupno rabo prednost, uporabniki pa ne bodo mogli spreminjati. Ko nastavite dovoljenja, LSASS (Local Security Authority) nadzoruje dostop do vira. Ko se prijavite, dobite žeton za dostop s svojim SID-om. Ko dostopate do vira, LSASS primerja SID, ki ste ga dodali v ACL (seznam za nadzor dostopa). Če je SID na ACL-u, določi, ali naj dovoli ali zavrne dostop. Ne glede na dovoljenja, ki jih uporabljate, obstajajo razlike, zato poglejmo, da bi bolje razumeli, kdaj moramo uporabiti kaj.
Dovoljenja za skupno rabo:
- Uporabljajte samo za uporabnike, ki dostopajo do vira prek omrežja. Ne veljajo, če se prijavite lokalno, na primer prek terminalskih storitev.
- Uporablja se za vse datoteke in mape v skupnem viru. Če želite zagotoviti bolj omejeno vrsto omejitvenih shem, morate poleg dovoljenj v skupni rabi uporabljati tudi dovoljenje NTFS
- Če imate formatirane nosilce FAT ali FAT32, bo to edina oblika omejitve, ki vam je na voljo, saj dovoljenja NTFS niso na voljo v teh datotečnih sistemih.
Dovoljenja NTFS:
- Edina omejitev dovoljenj NTFS je, da jih lahko nastavite samo na nosilcu, ki je formatiran v datotečnem sistemu NTFS
- Ne pozabite, da so dovoljenja NTFS kumulativna. To pomeni, da so učinkovita dovoljenja uporabnika rezultat združevanja dovoljenj, ki jih dodeli uporabnik, in dovoljenj vseh skupin, ki jim uporabnik pripada.
Nova dovoljenja za skupno rabo
Windows 7 je kupil novo tehniko »preprostega«. Možnosti so se spremenile iz Read, Change in Full Control v Read in Read / Write. Ideja je bila del celotne miselnosti Domače skupine in omogoča preprosto skupno rabo mape za ne-računalniško pismene ljudi. To storite prek kontekstnega menija in z lahkoto delite z domačo skupino.
Če ste želeli deliti z nekom, ki ni v domači skupini, lahko vedno izberete možnost »Posebni ljudje…«. S tem bi se odprlo bolj poglobljeno pogovorno okno, kjer bi lahko določili uporabnika ali skupino.
Obstajata samo dve dovoljenji, kot je bilo prej omenjeno. Skupaj nudijo vse ali nič zaščitne sheme za vaše mape in datoteke.
- Preberite dovoljenje je možnost »poglej, ne dotikaj se«. Prejemniki lahko odprejo, vendar ne spremenijo ali izbrišejo datoteke.
- Brati, pisati je možnost »naredi vse«. Prejemniki lahko odprejo, spremenijo ali izbrišejo datoteko.
Dovoljenje stare šole
V starem pogovornem oknu v skupni rabi je bilo na voljo več možnosti, kot je možnost za skupno rabo mape pod drugim vzdevkom. To nam je omogočilo, da omejimo število hkratnih povezav in konfiguriramo predpomnjenje. Nobena od teh funkcij ni izgubljena v operacijskem sistemu Windows 7, temveč je skrita pod možnostjo »Advanced Sharing«. Če z desno miškino tipko kliknete mapo in se premaknete na njene lastnosti, lahko te nastavitve »Advanced Sharing« najdete v zavihku »Share«.
Če kliknete gumb »Napredno skupno rabo«, ki zahteva poverilnice lokalnega skrbnika, lahko konfigurirate vse nastavitve, ki ste jih poznali v prejšnjih različicah sistema Windows.
Če kliknete na gumb dovoljenj, vam bodo predstavljene tri nastavitve, s katerimi smo vsi seznanjeni.
- Preberite dovoljenje omogoča pregledovanje in odpiranje datotek in podimenikov ter izvajanje aplikacij. Vendar pa ne dovoljuje nobenih sprememb.
- Spremeni dovoljenje vam omogoča, da naredite karkoli Preberite dovoljenje dovoljuje, doda pa tudi možnost dodajanja datotek in podimenikov, brisanja podmap in spreminjanja podatkov v datotekah.
- Popoln nadzor je "narediti karkoli" klasičnih dovoljenj, saj vam omogoča, da naredite katero koli in vsa prejšnja dovoljenja. Poleg tega vam omogoča napredno spreminjanje dovoljenja NTFS, vendar to velja samo za mape NTFS
Dovoljenja NTFS
Dovoljenja NTFS omogočajo zelo natančen nadzor nad vašimi datotekami in mapami. S tem pove, da je lahko količina zrnatosti za novinca zastrašujoča. Dovoljenje NTFS lahko nastavite tudi na podlagi posamezne datoteke in tudi na podlagi posamezne mape. Če želite določiti dovoljenje NTFS za datoteko, kliknite z desno miškino tipko in pojdite na lastnosti datoteke, nato pa na zavihek varnosti.
Če želite urediti dovoljenja NTFS za uporabnika ali skupino, kliknite gumb za urejanje.
Kot lahko vidite, je veliko dovoljenj NTFS, zato jih razčlenimo. Najprej si bomo ogledali dovoljenja NTFS, ki jih lahko nastavite v datoteki.
- Popoln nadzor vam omogoča branje, pisanje, spreminjanje, izvajanje, spreminjanje atributov, dovoljenj in prevzemanje lastništva datoteke.
- Spremeni omogoča branje, pisanje, spreminjanje, izvajanje in spreminjanje atributov datoteke.
- Branje & Izvajanje vam bo omogočil prikaz podatkov, atributov, lastnika in dovoljenj datoteke in zagon datoteke, če je program.
- Preberite vam bo omogočilo, da odprete datoteko, si ogledate njene atribute, lastnika in dovoljenja.
- Napiši vam bo omogočil zapisovanje podatkov v datoteko, dodajanje datoteke in branje ali spreminjanje njenih atributov.
Dovoljenja NTFS za mape imajo nekoliko drugačne možnosti, zato si jih oglejte.
- Popoln nadzor omogoča branje, pisanje, spreminjanje in izvajanje datotek v mapi, spreminjanje atributov, dovoljenj in prevzemanje lastništva mape ali datotek v.
- Spremeni omogoča branje, pisanje, spreminjanje in izvajanje datotek v mapi ter spreminjanje atributov v mapi ali datotekah.
- Branje & Izvajanje vam bo omogočil prikaz vsebine mape in prikaz podatkov, atributov, lastnika in dovoljenj za datoteke v mapi ter zagon datotek v mapi.
- Seznam vsebine mape vam bo omogočil prikaz vsebine mape in prikaz podatkov, atributov, lastnika in dovoljenj za datoteke v mapi ter zagon datotek v mapi
- Preberite vam bo omogočil prikaz podatkov, atributov, lastnika in dovoljenj datoteke.
- Napiši vam bo omogočil zapisovanje podatkov v datoteko, dodajanje datoteke in branje ali spreminjanje njenih atributov.
Povzetek
Skratka, uporabniška imena in skupine so predstavitve alfanumeričnega niza, imenovanega SID (Security Identifier). Dovoljenja za skupno rabo in NTFS so povezana s temi SID-ji. Dovoljenja za skupno rabo LSSAS preveri le, ko so dostopna prek omrežja, dovoljenja NTFS pa so združena z dovoljenji za skupno rabo, da omogočijo bolj natančno raven varnosti za vire, ki so dostopni prek omrežja in lokalno..
Dostop do vira v skupni rabi
Zdaj, ko smo se naučili o dveh metodah, ki jih lahko uporabimo za skupno rabo vsebine na naših osebnih računalnikih, kako se dejansko lotite dostopa do nje prek omrežja? To je zelo preprosto. Vnesite naslednje v navigacijsko vrstico.
ime uporabnika \ t
Opomba: Očitno boste morali nadomestiti ime računalnika za ime osebnega računalnika, ki gosti skupno rabo, in ime sharename za ime skupne rabe.
To je super za enkratne povezave, kaj pa v večjem podjetniškem okolju? Zagotovo vam ni treba naučiti uporabnikov, kako se s to metodo povezati z omrežnim virom. Če se želite temu izogniti, boste želeli preslikati omrežni pogon za vsakega uporabnika, tako da jim lahko svetujete, da shranijo svoje dokumente na pogon »H«, namesto da bi poskušali pojasniti, kako se povezati z delnico. Za preslikavo pogona odprite Computer in kliknite gumb »Map network drive«.
Nato preprosto vnesite pot UNC za delnico.
Verjetno se sprašujete, če morate to narediti na vsakem računalniku in na srečo je odgovor ne. Namesto tega lahko napišete paketni skript za samodejno preslikavo pogonov za uporabnike ob prijavi in razporeditev prek pravilnika skupine.
Če naredimo ukaz:
- Uporabljamo neto uporabo ukaz za preslikavo pogona.
- Uporabljamo * označuje, da želimo uporabiti naslednjo razpoložljivo črko pogona.
- Končno smo določite delež želimo preslikati pogon na. Opazili smo, da smo uporabili narekovaje, ker UNC pot vsebuje presledke.
Šifriranje datotek z uporabo šifrirnega datotečnega sistema
Windows vključuje možnost šifriranja datotek na nosilcu NTFS. To pomeni, da lahko samo vi dešifrirate datoteke in si jih ogledate. Če želite šifrirati datoteko, jo preprosto kliknite z desno miškino tipko in v kontekstnem meniju izberite lastnosti.
Nato kliknite napredno.
Zdaj označite potrditveno polje Šifriraj vsebino za varne podatke in kliknite V redu.
Zdaj nadaljujte in uporabite nastavitve.
Datoteko moramo samo šifrirati, vendar imate tudi možnost šifriranja nadrejene mape.
Upoštevajte, da ko je datoteka šifrirana, postane zelena.
Zdaj boste opazili, da lahko datoteko odprete samo vi in da drugi uporabniki na istem računalniku ne bodo mogli. Postopek šifriranja uporablja šifriranje javnega ključa, tako da so vaši ključi za šifriranje varni. Če jih izgubite, je vaša datoteka izginila in ni možnosti, da jo obnovite.
Domača naloga
- Več o podedovanju dovoljenj in učinkovitih dovoljenjih.
- Preberite ta Microsoftov dokument.
- Preberite, zakaj želite uporabljati BranchCache.
- Več o tem, kako deliti tiskalnike in zakaj želite.