Geek School: Oppiminen Windows 7 - Resource Access

Tässä Geek-koulun asennuksessa tarkastellaan kansio-virtualisointia, SID-tunnuksia ja käyttöoikeutta sekä salaus-tiedostojärjestelmää.

Muista tutustua edellisiin artikkeleihin tässä Geek School-sarjassa Windows 7:

• Esittelyssä How-To Geek School
• Päivitykset ja muuttoliikkeet
• Laitteiden määrittäminen
• Levyjen hallinta
• Sovellusten hallinta
• Internet Explorerin hallinta
• IP Addressing perusteet
• verkostoituminen
• Langaton verkko
• Windowsin palomuuri
• Etähallinta
• Etäyhteys
• Seuranta, tehokkuus ja Windowsin päivittäminen

Ja pysy kuulolla muulle sarjalle tällä viikolla.

Kansion virtualisointi

Windows 7 otti käyttöön kirjastojen käsitteen, jonka avulla voit saada keskitetyn sijainnin, josta voit tarkastella muualla tietokoneessa olevia resursseja. Tarkemmin sanottuna kirjastot -toiminnon avulla voit lisätä kansioita mistä tahansa tietokoneesta johonkin neljästä oletuskirjastosta, asiakirjasta, musiikista, videoista ja kuvista, jotka ovat helposti saatavilla Windowsin Resurssienhallinnassa.

Kirjaston ominaisuus on kaksi tärkeää asiaa:

• Kun lisäät kansion kirjastoon, kansio ei itse siirry, vaan linkki luodaan kansion sijaintiin.
• Jotta voit lisätä verkkoosion kirjastoihin, sen on oltava käytettävissä offline-tilassa, mutta voit myös käyttää työtä symbolisten linkkien avulla.

Jos haluat lisätä kansion kirjastoon, pääset kirjastoon ja napsauta sijaintiyhteyttä.

Napsauta sitten Lisää-painiketta.

Etsi kansio, jonka haluat sisällyttää kirjastoon, ja napsauta Sisällytä kansio -painiketta.

Siinä kaikki on.

Turvatunniste

Windows-käyttöjärjestelmä käyttää SID-tunnuksia kaikkien turvallisuusperiaatteiden esittämiseen. SID-tunnukset ovat vain muuttuvia pituisia aakkosnumeerisia merkkejä, jotka edustavat koneita, käyttäjiä ja ryhmiä. SID-tunnukset lisätään ACL-tiedostoihin (Access Control Lists) aina, kun annat käyttäjälle tai ryhmälle luvan tiedostoon tai kansioon. Kohtausten takana SID-tiedot tallennetaan samalla tavoin kuin kaikki muut datakohteet ovat: binaarissa. Kun kuitenkin näet SID-osoitteen Windowsissa, se näkyy luettavamman syntaksin avulla. Usein ei ole, että näet minkä tahansa SID-muodon Windowsissa; Yleisin skenaario on, kun annat jonkun resurssin luvan, ja poista sitten käyttäjätili. SID näkyy sitten ACL: ssä. Joten voit tarkastella tyypillistä muotoa, jossa näet SID-osoitteet Windowsissa.

Merkintä, jonka näet, vie tietynlaisen syntaksin. Alla on SID: n eri osat.

• S-etuliite
• Rakenteen tarkistusnumero
• 48-bittinen tunnisteen auktoriteettiarvo
• Muuttuva määrä 32-bittistä alivaltiota tai suhteellista tunnistetta (RID)

Käyttämällä SID-tunnistetta alla olevassa kuvassa hajotamme eri osia, jotta voimme ymmärtää paremmin.

SID-rakenne:

'S' - SID: n ensimmäinen komponentti on aina 'S'. Tämä on etusijalla kaikkiin SID-osoitteisiin ja on olemassa tietoja Windowsille, että seuraava on SID.
'1' - SID: n toinen komponentti on SID-spesifikaation tarkistusnumero. Jos SID-määrittely muuttuisi, se antaisi taaksepäin yhteensopivuuden. Windows 7: n ja Server 2008 R2: n mukaan SID-määritys on edelleen ensimmäisessä versiossa.
'5' - SID: n kolmas osa on nimeltään tunnistusviranomainen. Tämä määrittelee, missä määrin SID on luotu. SID: n tämän osan mahdolliset arvot voivat olla:

• 0 - Toimivaltainen viranomainen
• 1 - Maailman viranomainen
• 2 - Paikallinen viranomainen
• 3 - Luojaviranomainen
• 4 - ei-ainutkertainen viranomainen
• 5 - NT-viranomainen

'21' - Neljäs osa on auktoriteetti 1. Neljännessä kentässä käytetään arvoa "21" ja määritetään, että jäljessä olevat viranomaiset tunnistavat paikallisen koneen tai verkkotunnuksen.
'1206375286-251249764-2214032401' - Näitä kutsutaan alivaltioksi 2,3 ja vastaavasti 4. Esimerkissämme käytetään paikallisen koneen tunnistamista, mutta se voi olla myös Domain-tunniste.
'1000' - Alivaltio 5 on SID: in viimeinen osa ja sitä kutsutaan RID (Relative Identifier). RID on suhteessa jokaiseen tietoturvaperiaatteeseen: huomioikaa, että kaikki käyttäjän määrittelemät kohteet, jotka eivät ole Microsoftin toimittamia, ovat RID-arvoja 1000 tai enemmän.

Turvallisuusperiaatteet

Turvallisuusperiaate on mikä tahansa, jolla on siihen SID. Nämä voivat olla käyttäjiä, tietokoneita ja jopa ryhmiä. Turvallisuusperiaatteet voivat olla paikallisia tai olla verkkotunnuksen yhteydessä. Hallitset paikallisia turvallisuusperiaatteita paikallisten käyttäjien ja ryhmien napsauttamalla, tietokonehallinnan alla. Pääset sinne napsauttamalla hiiren kakkospainikkeella tietokoneen pikakuvaketta käynnistysvalikossa ja valitsemalla hallinta.

Jos haluat lisätä uuden käyttäjän tietoturvaperiaatteen, voit siirtyä Käyttäjät-kansioon ja napsauttaa hiiren kakkospainiketta ja valita Uusi käyttäjä.

Jos kaksoisnapsautat käyttäjää, voit lisätä ne Member Group -välilehteen Security Groupiin.

Luo uusi tietoturvaryhmä siirtymällä oikealla puolella olevaan Ryhmät-kansioon. Napsauta hiiren kakkospainikkeella valkoista tilaa ja valitse Uusi ryhmä.

Osakeoikeudet ja NTFS-käyttöoikeus

Windowsissa on kahdenlaisia ​​tiedosto- ja kansion käyttöoikeuksia. Ensinnäkin on Share-oikeudet. Toiseksi on NTFS-käyttöoikeuksia, joita kutsutaan myös suojauslupiksi. Yhteisten kansioiden suojaaminen tapahtuu yleensä Share- ja NTFS-käyttöoikeuksien yhdistelmällä. Koska näin on, on tärkeää muistaa, että kaikkein rajoittavin lupa koskee aina. Jos esimerkiksi osavaltion lupa antaa kaikkien tietoturvaperiaatteen lupa, mutta NTFS-lupa antaa käyttäjille mahdollisuuden muuttaa tiedostoa, osakeoikeus on etusijalla eikä käyttäjillä ole oikeutta tehdä muutoksia.Kun määrität oikeudet, LSASS (Local Security Authority) valvoo pääsyä resurssiin. Kun kirjaudut sisään, sinulle annetaan käyttöoikeuskoodi SID: lläsi. Kun käytät resurssia, LSASS vertaa ACL: ään (Access Control List) lisätyn SID: n. Jos SID on ACL: llä, se päättää sallitun käyttöoikeuden sallimisen tai kieltämisen. Riippumatta siitä, mitä käyttöoikeuksia käytät, on eroja, joten katsokaamme paremmin, kun käytämme mitä.

Osuusoikeudet:

• Käytä vain käyttäjiä, jotka käyttävät resurssia verkon kautta. Ne eivät sovi, jos kirjaudut paikallisesti, esimerkiksi päätelaitteiden kautta.
• Se koskee kaikkia jaettuja tiedostoja ja kansioita. Jos haluat tarjota rakeisemmanlaisen rajoitussysteemin, käytä NTFS-käyttöoikeutta jaetun lisenssin lisäksi
• Jos sinulla on FAT- tai FAT32-muotoisia tiedostoja, tämä on ainoa käytettävissä oleva rajoitus, koska NTFS-käyttöoikeudet eivät ole käytettävissä kyseisissä tiedostojärjestelmissä.

NTFS-käyttöoikeudet:

• NTFS-käyttöoikeuksien ainoa rajoitus on, että ne voidaan asettaa vain NTFS-tiedostojärjestelmälle alustettuun tilaan
• Muista, että NTFS-käyttöoikeudet ovat kumulatiivisia. Tämä tarkoittaa, että käyttäjän todelliset käyttöoikeudet ovat seurausta käyttäjän osoittamien käyttöoikeuksien yhdistämisestä ja kaikkien ryhmien oikeuksista, joihin käyttäjä kuuluu.

Uudet käyttöoikeudet

Windows 7 osti uutta "helppoa" jakamismenetelmää. Vaihtoehdot muuttuvat luku-, muutos- ja täydellisestä kontrollista lukemaan ja lukemaan / kirjoittamaan. Idea oli osa koko Homegroup-ajattelutapaa ja helpottaa jakamista kansioon, joka ei ole tietokoneella lukemattomia ihmisiä. Tämä tapahtuu kontekstivalikon kautta ja jakaa helposti kotiryhmän kanssa.

Jos haluat jakaa jonkun kanssa, joka ei ole kotiryhmässä, voit aina valita "Erityiset ihmiset ..." -vaihtoehdon. Mikä tuo esiin "enemmän" -valintaikkunan, jossa voit määrittää käyttäjän tai ryhmän.

Kuten aiemmin on mainittu, on vain kaksi käyttöoikeutta. Yhdessä ne tarjoavat kaikki tai ei mitään suojausmenetelmää kansioille ja tiedostoille.

1. Lukea lupa on "näytä, älä kosketa" -vaihtoehtoa. Vastaanottajat voivat avata, mutta ei muokata tai poistaa tiedostoa.
2. Lukea kirjoittaa on "tehdä mitään" vaihtoehto. Vastaanottajat voivat avata, muokata tai poistaa tiedoston.

Vanhan koulun lupa

Vanhassa jakamisikkunassa oli enemmän vaihtoehtoja, kuten mahdollisuus jakaa kansio erilaisen aliaksen alla. Sen avulla voimme rajoittaa samanaikaisten yhteyksien määrää sekä määrittää välimuistin. Mikään näistä toiminnoista ei mene Windows 7: een, vaan pikemminkin piilotetaan vaihtoehtoon "Advanced Sharing". Jos napsautat hiiren kakkospainikkeella kansiota ja siirtymällä sen ominaisuuksiin, näet nämä "Lisäasetukset" -asetukset jakamisen välilehdessä.

Jos napsautat Lisäasetukset-painiketta, joka vaatii paikallisen järjestelmänvalvojan oikeudet, voit määrittää kaikki asetukset, jotka olet tuntenut Windowsin aiemmissa versioissa.

Jos napsautat käyttöoikeudet -painiketta, näet 3 asetusta, joista me kaikki tunnemme.

• Lukea lupa mahdollistaa tiedostojen ja alihakemistojen avaamisen ja avaamisen sekä sovellusten suorittamisen. Se ei kuitenkaan salli mitään muutoksia.
• Muuttaa lupa antaa sinun tehdä mitä tahansa Lukea lupa sallii, ja se myös lisää kykyä lisätä tiedostoja ja alihakemistoja, poistaa alikansioita ja muuttaa tiedostoja.
• Täysi hallinta on klassisten käyttöoikeuksien "tehdä mitään", koska se sallii sinun tehdä kaikki aiemmat käyttöoikeudet. Lisäksi se antaa sinulle kehittyneen NTFS-käyttöoikeuden, mutta tämä koskee vain NTFS-kansioita

NTFS-käyttöoikeudet

NTFS-käyttöoikeudet mahdollistavat tiedostojen ja kansioiden erittäin rakeisen hallinnan. Sanotaan, että rakeisuuden määrä voi olla pelottava uudelle tulokkaalle. Voit myös asettaa NTFS-oikeudet per tiedostoperusteisesti sekä per kansion perusteella. Jos haluat asettaa NTFS-tiedoston käyttöoikeuden, napsauta hiiren kakkospainiketta ja siirry tiedoston ominaisuuksiin ja siirry sitten suojausvälilehdelle.

Jos haluat muokata NTFS-käyttöoikeuksia käyttäjälle tai ryhmälle, napsauta muokkauspainiketta.

Kuten näette, NTFS-käyttöoikeuksia on paljon, joten rikkoa ne. Ensin tarkastellaan NTFS-käyttöoikeuksia, jotka voit asettaa tiedostolle.

• Täysi hallinta voit lukea, kirjoittaa, muokata, suorittaa, muuttaa attribuutteja, käyttöoikeuksia ja omistaa tiedoston.
• Muuttaa voit lukea, kirjoittaa, muokata, suorittaa ja muuttaa tiedoston ominaisuuksia.
• Lue ja suorita voit näyttää tiedoston tiedot, attribuutit, omistajan ja käyttöoikeudet ja suorittaa tiedoston, jos se on ohjelma.
• Lukea ansiosta voit avata tiedoston, tarkastella sen ominaisuuksia, omistajaa ja käyttöoikeuksia.
• Kirjoittaa voit kirjoittaa tiedostoja tiedostoon, liittää tiedostoon ja lukea tai muuttaa sen attribuutteja.

NTFS Kansioiden käyttöoikeudet ovat hieman erilaiset, joten voit tarkastella niitä.

• Täysi hallinta voit lukea, kirjoittaa, muokata ja suorittaa kansion tiedostoja, muuttaa attribuutteja, käyttöoikeuksia ja omistaa kansion tai sen sisältämät tiedostot.
• Muuttaa voit lukea, kirjoittaa, muokata ja suorittaa tiedostoja kansiossa ja muuttaa kansion tai tiedostojen ominaisuuksia.
• Lue ja suorita voit näyttää kansion sisällön ja näyttää kansion sisältämät tiedostot, attribuutit, omistajan ja käyttöoikeudet sekä käyttää tiedostoja kansion sisällä.
• Luettelo kansion sisällöstä voit näyttää kansion sisällön ja näyttää kansion sisältämät tiedostot, attribuutit, omistajan ja käyttöoikeudet sekä käyttää tiedostoja kansion sisällä
• Lukea voit näyttää tiedoston tiedot, attribuutit, omistajan ja käyttöoikeudet.
• Kirjoittaa voit kirjoittaa tiedostoja tiedostoon, liittää tiedostoon ja lukea tai muuttaa sen attribuutteja.

Yhteenveto

Yhteenvetona käyttäjätunnukset ja ryhmät ovat aakkosnumeerisen merkkijonon (SID) (turvatiedon) kutsumia. Osake- ja NTFS-käyttöoikeudet on sidottu näihin SID-osoitteisiin. LSSAS tarkistaa jakamisoikeudet vain, kun niitä käytetään verkon kautta, kun taas NTFS-oikeudet yhdistetään Share Permissions -ominaisuuksiin, jotta sallitut rajat ylittävät tietoturvatasot sekä verkossa että paikallisesti käytettävissä olevat resurssit.

Yhteisen resurssin käyttäminen

Joten nyt, kun olemme oppineet kahdesta menetelmästä, joita voimme käyttää jakamaan sisältöä tietokoneissamme, miten aiotte käyttää sitä verkon kautta? Se on hyvin yksinkertainen. Kirjoita vain navigointipalkkiin seuraava.

\ tietokonenimi \ Jakonimi

Huomaa: Tietenkin sinun on vaihdettava tietokoneen nimi, joka ylläpitää osakkeen ja osakkeen nimiä.

Tämä sopii erinomaisesti yhteyksien poistamiseen, mutta entä suurempi yritysympäristö? Tietenkään sinun ei tarvitse opettaa käyttäjiäsi liittymään verkkoresursseihin tällä menetelmällä. Voit kiertää tämän, haluat kartoittaa verkkoaseman jokaiselle käyttäjälle, joten voit neuvoa heitä tallentamaan asiakirjansa "H" -asemaan sen sijaan, että yrität selittää, miten voit muodostaa yhteyden johonkin. Voit halutessasi piirtää aseman avaamalla Tietokoneen ja napsauttamalla "Map network drive" -painiketta.

Kirjoita sitten UNC-polku osuuteen.

Sinun luultavasti mietitkö, onko sinun tehtävä jokaisessa tietokoneessa, ja onneksi vastaus ei ole. Pikemminkin voit kirjoittaa eräkäsikirjoituksen, joka kartoittaa automaattisesti asemat käyttäjille kirjautumisen yhteydessä ja ottaa sen käyttöön ryhmäkäytännön avulla.

Jos hahmotellaan komento:

• Käytämme netto käyttö komento karttaa asema.
• Käytämme * merkitsemään, että haluamme käyttää seuraavaksi käytettävissä olevaa asemakirjainta.
• Lopuksi me määritä osuus haluamme kartoittaa ajaa. Huomaa, että käytimme lainauksia, koska UNC-polku sisältää välilyöntejä.

Tiedostojen salaaminen salausjärjestelmän avulla

Windows sisältää kyvyn tiedostojen salaamiseen NTFS-äänenvoimakkuudella. Tämä tarkoittaa, että vain voit purkaa tiedostot ja tarkastella niitä. Jos haluat salata tiedoston, napsauta sitä hiiren kakkospainikkeella ja valitse ominaisuudet pikavalikosta.

Napsauta sitten edistynyttä.

Tarkista nyt Salaa sisältö varmistaaksesi tiedot -valintaruutu ja valitse sitten OK.

Siirry nyt ja aseta asetukset.

Meidän on vain salattava tiedosto, mutta sinulla on mahdollisuus myös salakirjoittaa emokansio.

Huomaa, että kun tiedosto on salattu, se muuttuu vihreäksi.

Huomaat nyt, että vain sinä pystyt avaamaan tiedoston ja että muut samaan tietokoneeseen kuuluvat käyttäjät eivät pysty. Salausprosessi käyttää julkisen avaimen salausta, joten pidä salausavaimet turvassa. Jos menetät ne, tiedostosi on poissa, eikä sitä ole mahdollista palauttaa.

Kotitehtävät

• Opi perintöoikeuden perinnöstä ja tehokkaista käyttöoikeuksista.
• Lue tämä Microsoft-asiakirja.
• Opi miksi haluat käyttää BranchCachea.
• Opi jakamaan tulostimia ja miksi haluaisit.