Kako razumeti tiste zmede Windows 7 File / Share Permissions

Ste že kdaj poskusili ugotoviti vsa dovoljenja v sistemu Windows? Obstajajo dovoljenja za skupno rabo, dovoljenja NTFS, seznami za nadzor dostopa in še več. Evo, kako vsi delajo skupaj.

Identifikator varnosti

Operacijski sistemi Windows uporabljajo SID za predstavitev vseh varnostnih načel. SID-i so le spremenljive dolžine nizov alfanumeričnih znakov, ki predstavljajo stroje, uporabnike in skupine. SID se dodajo ACL (seznami nadzora dostopa) vsakič, ko uporabniku ali skupini podelite dovoljenje za datoteko ali mapo. V ozadju so scene SID shranjene na enak način kot vsi drugi podatkovni objekti v binarni obliki. Vendar, ko vidite Windows SID v operacijskem sistemu Windows, bo prikazan z bolj berljivo sintakso. V operacijskem sistemu Windows ni pogosto, da boste videli kakršno koli obliko SID, najpogostejši scenarij pa je, ko nekomu dovolite vir, nato pa se njihov uporabniški račun izbriše, nato pa se prikaže kot SID v ACL. Torej, si oglejte tipično obliko, v kateri boste videli SID v Windows.

Oznaka, ki jo boste videli, ima določeno sintakso, spodaj so različni deli SID v tem zapisu.

1. Predpona 'S'
2. Številka revizije strukture
3. 48-bitna vrednost pooblastila identifikatorja
4. Spremenljivo število vrednosti 32-bitnih podregulacij ali relativnih identifikatorjev (RID)

Z uporabo mojega SID-a na spodnji sliki bomo razdelili različne odseke, da bomo bolje razumeli.

Struktura SID:

"S" - Prva komponenta SID je vedno 'S'. To je predpona vseh SID-jev in je tam, da Windows sporoči, da sledi SID.
»1« - Druga komponenta SID je številka revizije specifikacije SID, če bi se spremenila specifikacija SID, bi to zagotovilo združljivost nazaj. V operacijskem sistemu Windows 7 in Server 2008 R2 je specifikacija SID še vedno v prvi reviziji.
»5« - Tretji del SID se imenuje pooblastilo Identifier. To določa, v katerem obsegu je bil generiran SID. Možne vrednosti za te dele SID so lahko:

1. 0 - Null Authority
2. 1 - Svetovna oblast
3. 2 - Lokalna oblast
4. 3 - Ustvarjalno telo
5. 4 - Neenotni organ
6. 5 - Pristojnost NT

"21" - Četrta komponenta je podregulacija 1, vrednost "21" pa se uporablja v četrtem polju, da se določi, da pod-organi, ki sledijo, identificirajo Lokalni računalnik ali Domeno.
"1206375286-251249764-2214032401" - Ti se imenujejo podregulacija 2,3 in 4. V našem primeru se to uporablja za identifikacijo lokalnega računalnika, lahko pa je tudi identifikator za domeno.
"1000" - Sub-organ 5 je zadnja komponenta v našem SID in se imenuje RID (Relative Identifier), RID je glede na vsako načelo varnosti, upoštevajte, da bodo vsi uporabniško določeni objekti, tisti, ki jih Microsoft ne pošlje, imeli RID. 1000 ali več.

Načela varnosti

Načelo varnosti je vse, kar ima na njem pritrjen SID, to so lahko uporabniki, računalniki in celo skupine. Varnostna načela so lahko lokalna ali v domeni. Lokalna varnostna načela upravljate prek snap-ina Lokalni uporabniki in skupine, v računalniškem upravljanju. Če želite priti tja, kliknite na bližnjico računalnika v začetnem meniju in izberite Upravljanje.

Če želite dodati novo načelo varnosti uporabnika, lahko obiščete mapo uporabnikov in z desnim klikom izberete novega uporabnika.

Če dvokliknete uporabnika, jih lahko dodate na varnostno skupino na kartici Članica.

Če želite ustvariti novo varnostno skupino, se pomaknite do mape Skupine na desni strani. Z desno miškino tipko kliknite prazen prostor in izberite novo skupino.

Dovoli dovoljenja in dovoljenje NTFS

V operacijskem sistemu Windows obstajata dve vrsti dovoljenj za datoteke in mape, najprej so dovoljenja za skupno rabo, drugič pa so dovoljenja NTFS, imenovana tudi varnostna dovoljenja. Upoštevajte, da je skupna mapa »Vsakdo« po privzeti skupni rabi podeljena dovoljenju za branje. Varnost v mapah običajno poteka s kombinacijo Deljenje in Dovoljenja NTFS, če je tako, je pomembno vedeti, da velja najbolj restriktivno, na primer, če je dovoljenje za skupno rabo nastavljeno na Vsi = branje (kar je privzeto), vendar dovoljenje NTFS omogoča uporabnikom, da spremenijo datoteko, dovoljenje za skupno rabo pa bo imelo prednost in uporabniki ne bodo smeli spreminjati. Ko nastavite dovoljenja, LSASS (Local Security Authority) nadzoruje dostop do vira. Ko se prijavite, dobite žeton za dostop s svojim SID-om, ko odprete dostop do vira, LSASS primerja SID, ki ste ga dodali v ACL (seznam za nadzor dostopa), in če je SID v ACL, določi, ali dovolite ali zavrnite dostop. Ne glede na dovoljenja, ki jih uporabljate, obstajajo razlike, zato si poglejmo, kako bolje razumeti, kdaj moramo uporabiti kaj.

Dovoljenja za skupno rabo:

1. Uporabljajte samo za uporabnike, ki dostopajo do vira prek omrežja. Ne veljajo, če se prijavite lokalno, na primer prek terminalskih storitev.
2. Uporablja se za vse datoteke in mape v skupnem viru. Če želite zagotoviti bolj omejeno vrsto omejitvenih shem, morate poleg dovoljenj v skupni rabi uporabljati tudi dovoljenje NTFS
3. Če imate formatirane nosilce FAT ali FAT32, bo to edina oblika omejitve, ki vam je na voljo, saj dovoljenja NTFS niso na voljo v teh datotečnih sistemih.

Dovoljenja NTFS:

1. Edina omejitev dovoljenj NTFS je, da jih lahko nastavite samo na nosilcu, ki je formatiran v datotečnem sistemu NTFS
2. Ne pozabite, da so NTFS kumulativni, kar pomeni, da so učinkovita dovoljenja za uporabnike rezultat združevanja uporabniških dovoljenj in dovoljenj vseh skupin, ki jih uporabnik.

Nova dovoljenja za skupno rabo

Windows 7 je kupil novo tehniko »preprostega«. Možnosti so se spremenile iz Read, Change in Full Control v. Branje in branje / pisanje. Ideja je bila del celotne miselnosti domače skupine in omogoča preprosto skupno rabo mape za ljudi, ki niso računalniško pismeni. To naredite prek kontekstnega menija in z lahkoto delite z domačo skupino.

Če ste želeli deliti z nekom, ki ni v domači skupini, lahko vedno izberete možnost »Posebni ljudje…«. Kateri bi prinesel bolj poglobljen dialog. Kje lahko določite določenega uporabnika ali skupino.

Obstajata samo dve dovoljenji, kot je bilo prej omenjeno, skupaj pa nudita vse ali nič zaščitne sheme za vaše mape in datoteke.

1. Preberite dovoljenje je možnost »poglej, ne dotikaj se«. Prejemniki lahko odprejo, vendar ne spremenijo ali izbrišejo datoteke.
2. Brati, pisati je možnost »naredi vse«. Prejemniki lahko odprejo, spremenijo ali izbrišejo datoteko.

The Old School Way

V starem pogovornem oknu za skupno rabo je bilo na voljo več možnosti in nam je dala možnost deliti mapo pod drugim vzdevkom, kar nam je omogočilo, da omejimo število hkratnih povezav in konfiguriramo predpomnjenje. Nobena od teh funkcij ni izgubljena v operacijskem sistemu Windows 7, ampak je skrita pod možnostjo, imenovano »Advanced Sharing«. Če z desno miškino tipko kliknete mapo in se premaknete na njene lastnosti, lahko te nastavitve »Advanced Sharing« najdete v zavihku »Share«.

Če kliknete gumb »Napredno skupno rabo«, ki zahteva poverilnice lokalnega skrbnika, lahko konfigurirate vse nastavitve, ki ste jih poznali v prejšnjih različicah sistema Windows.

Če kliknete na gumb dovoljenj, bodo prikazane tri nastavitve, s katerimi smo vsi seznanjeni.

1. Preberite dovoljenje omogoča pregledovanje in odpiranje datotek in podimenikov ter izvajanje aplikacij. Vendar pa ne dovoljuje nobenih sprememb.
2. Spremeni dovoljenje vam omogoča, da naredite karkoli Preberite Dovoljenje dovoljuje tudi dodajanje datotek in podimenikov, brisanje podmap in spreminjanje podatkov v datotekah.
3. Popoln nadzor je "narediti karkoli" klasičnih dovoljenj, saj vam omogoča, da naredite katero koli in vsa prejšnja dovoljenja. Poleg tega vam omogoča napredno spreminjanje dovoljenja NTFS, to velja samo za mape NTFS

Dovoljenja NTFS

Dovoljenje NTFS omogoča zelo natančen nadzor nad vašimi datotekami in mapami. S tem se lahko poveča količina zrnatosti novinca. Dovoljenje NTFS lahko nastavite tudi na podlagi posamezne datoteke in tudi na podlagi posamezne mape. Če želite določiti dovoljenje NTFS za datoteko, kliknite z desno miškino tipko in pojdite na lastnosti datotek, kjer boste morali iti na zavihek varnosti.

Če želite urediti dovoljenja NTFS za uporabnika ali skupino, kliknite gumb za urejanje.

Kot lahko vidite, je veliko dovoljenj NTFS, zato jih lahko razčlenimo. Najprej si bomo ogledali dovoljenja NTFS, ki jih lahko nastavite na datoteko.

1. Popoln nadzor vam omogoča branje, pisanje, spreminjanje, izvajanje, spreminjanje atributov, dovoljenj in prevzemanje lastništva datoteke.
2. Spremeni omogoča branje, pisanje, spreminjanje, izvajanje in spreminjanje atributov datoteke.
3. Branje & Izvajanje vam bo omogočil, da prikažete podatke, atribute, lastnika in dovoljenja datoteke in zaženete datoteko, če je njen program.
4. Preberite vam bo omogočilo, da odprete datoteko, si ogledate njene atribute, lastnika in dovoljenja.
5. Napiši vam bo omogočil zapisovanje podatkov v datoteko, dodajanje datoteke in branje ali spreminjanje njenih atributov.

Dovoljenja NTFS za mape imajo nekoliko drugačne možnosti, zato jih lahko pogledate.

1. Popoln nadzor omogoča branje, pisanje, spreminjanje in izvajanje datotek v mapi, spreminjanje atributov, dovoljenj in prevzemanje lastništva mape ali datotek v.
2. Spremeni omogoča branje, pisanje, spreminjanje in izvajanje datotek v mapi ter spreminjanje atributov v mapi ali datotekah.
3. Branje & Izvajanje vam bo omogočil prikaz vsebine mape in prikaz podatkov, atributov, lastnika in dovoljenj za datoteke v mapi ter zagon datotek v mapi.
4. Seznam vsebine mape vam bo omogočil prikaz vsebine mape in prikaz podatkov, atributov, lastnika in dovoljenj za datoteke v mapi.
5. Preberite vam bo omogočil prikaz podatkov, atributov, lastnika in dovoljenj datoteke.
6. Napiši vam bo omogočil zapisovanje podatkov v datoteko, dodajanje datoteke in branje ali spreminjanje njenih atributov.

Microsoftova dokumentacija prav tako navaja, da bo vsebina seznama map omogočala izvrševanje datotek v mapi, vendar boste za to še vedno morali omogočiti »Read & Execute«. To je zelo zmedeno dokumentirano dovoljenje.

Povzetek

Skratka, uporabniška imena in skupine so predstavitve alfanumeričnega niza, imenovanega SID (Security Identifier), Deljenje in Dovoljenja NTFS, ki so povezani s temi SID-ji. Dovoljenja za skupno rabo LSSAS preveri le, ko so dostopna prek omrežja, dovoljenja NTFS pa so veljavna samo na lokalnih računalnikih. Upam, da boste vsi dobro razumeli, kako se izvaja zaščita datotek in map v sistemu Windows 7. Če imate kakršnakoli vprašanja, vas prosimo, da se oglasite v komentarjih.