Kuidas mõista neid segavaid Windows 7 faile / jagamisõigusi

Kas olete kunagi püüdnud välja selgitada kõik Windowsi õigused? Seal on jagatud õigused, NTFS-õigused, juurdepääsukontrolliloendid ja palju muud. Siin on, kuidas nad kõik koos töötavad.

Turvalisuse tunnus

Windowsi operatsioonisüsteemid kasutavad SID-sid, et esindada kõiki turvalisuse põhimõtteid. SID-id on ainult muutuva pikkusega tähtedega tähemärgid, mis esindavad masinaid, kasutajaid ja rühmi. SID-id lisatakse ACL-idele (Access Control Lists) iga kord, kui annate kasutajale või grupile loa failile või kaustale. Stseeni taga salvestatakse SID-id samamoodi nagu kõik teised andmeobjektid binaarselt. Kui aga näete Windowsis SID-i, kuvatakse see loetavama süntaksiga. Sageli ei näe Windowsis mingit SID-i vormi, kõige tavalisem stsenaarium on siis, kui annate kellelegi ressursile loa, seejärel kustutatakse nende kasutajakonto, seejärel ilmub see ACL-is SID-ks. Niisiis saate tutvuda tüüpilise vorminguga, milles näete SID-e Windowsis.

Märge, mida näed, võtab teatud süntaksit, allpool on SID-i erinevad osad selles märkuses.

1. S-prefiks
2. Struktuuri muutmise number
3. 48-bitine identifikaatori volitus
4. Muutuv arv 32-bitist all-võimu või suhtelist identifikaatorit (RID)

Kasutades oma SID-i allolevas pildis, murdame erinevad osad parema arusaamise saavutamiseks.

SID-i struktuur:

'S' - SIDi esimene komponent on alati 'S'. See on eesliide kõigile SID-idele ja on teavitatud Windowsi, et järgnev on SID.
'1' - SID-i teine ​​komponent on SID-spetsifikatsiooni redigeerimisnumber, kui SID-spetsifikatsioon peaks seda muutma, tagaks see tagasiside. Nagu Windows 7 ja Server 2008 R2, on SID-i spetsifikatsioon ikka veel esimeses versioonis.
'5' - SID-i kolmandat osa nimetatakse identifitseerimisasutuseks. See määratleb, millises ulatuses SID loodi. SIDi selle osa võimalikud väärtused võivad olla:

1. 0 - Null-amet
2. 1 - Maailma Amet
3. 2 - Kohalik omavalitsus
4. 3 - Looja asutus
5. 4 - Ainulaadne asutus
6. 5 - NT asutus

'21' - Neljas komponent on allorganisatsioon 1, neljandas väljal kasutatakse väärtust „21”, et täpsustada, millised allüksused järgivad kohalikku masinat või domeeni.
'1206375286-251249764-2214032401' - Neid nimetatakse vastavalt allüksuseks 2,3 ja 4. Meie näites kasutatakse seda kohaliku masina identifitseerimiseks, kuid see võib olla ka domeeni identifikaator.
'1000' - Alamorganisatsioon 5 on meie SIDi viimane komponent ja seda nimetatakse RID-ks (suhteline identifikaator), RID on iga turvapõhimõtte suhtes asjakohane. Pange tähele, et kasutaja määratud objektidel, mida Microsoft ei paku, on RID 1000 või rohkem.

Turvalisuse põhimõtted

Turvalisuse põhimõte on midagi, millel on sellele lisatud SID, need võivad olla kasutajad, arvutid ja isegi rühmad. Turvalisuse põhimõtted võivad olla kohalikud või olla domeeni kontekstis. Sa haldad kohalikke turvalisuse põhimõtteid kohalike kasutajate ja rühmade lisandmooduli kaudu, arvuti haldamisel. Selleks, et saada paremklõps arvuti menüükäsku menüüs Start ja vali käsk.

Uue kasutaja turvalisuse põhimõtte lisamiseks võite minna kasutajate kausta ja paremklõpsuga ning valida uue kasutaja.

Kui te topeltklõpsate kasutajale, saate need lisada vahekaardi Liikmele turvakontserni.

Uue turvakontserni loomiseks liikuge paremal pool olevale kausta Grupid. Paremklõpsake valge tühikut ja valige uus rühm.

Jagage õigusi ja NTFS-luba

Windowsis on kahte tüüpi failide ja kaustade õigusi, esiteks on jagamisõigused ja teiseks on NTFS-õigused, mida nimetatakse ka turvaõigusteks. Pange tähele, et kui jagate kausta vaikimisi, antakse grupp „Kõik” lugemisluba. Kaustade turvalisus tehakse tavaliselt Share ja NTFS-litsentside kombinatsiooniga, kui see on nii, on oluline meeles pidada, et kõige rangem on alati kohaldatav, näiteks kui aktsia luba on seatud kõigile = Loe (mis on vaikimisi), aga NTFS-luba võimaldab kasutajatel failis muudatusi teha, jagamisluba eelistatakse ja kasutajad ei saa teha muudatusi. LSASS (Local Security Authority) kontrollib õigusi ressursside kasutamisel. Kui logite sisse, antakse teile SID-iga pääsukood, kui avate ressursile juurdepääsu, võrdleb LSASS ACL-i (Access Control List) lisatud SID-i ja kui SID on ACL-is, määrab see, kas lubada või keelata juurdepääs. Ükskõik, milliseid õigusi te kasutate, on erinevusi, nii et saate vaadata, kuidas paremini mõista, millal me peaksime seda kasutama.

Jagage õigusi:

1. Kehtib ainult kasutajatele, kes kasutavad ressurssi võrgus. Need ei kehti, kui logite kohapeal, näiteks terminaliteenuste kaudu.
2. See kehtib kõigi jagatud ressursi failide ja kaustade kohta. Kui soovid pakkuda lihtsamaid piiranguid, tuleks lisaks jagatud õigustele kasutada NTFS-luba
3. Kui teil on FAT- või FAT32-vormingus vorminguid, on see teie jaoks ainus piiranguvorm, kuna NTFS-õigused ei ole nendes failisüsteemides saadaval.

NTFS-õigused:

1. Ainus NTFS-i lubade piirang on see, et neid saab seadistada ainult köites, mis on vormindatud NTFS-failisüsteemiga
2. Pidage meeles, et NTFS on kumulatiivne, mis tähendab, et kasutajate tõhusad õigused tulenevad kasutaja määratud litsentside ja mis tahes grupi kasutajate loa kombinatsioonist.

Uus jagamisluba

Windows 7 ostis uue „lihtsa” jagamise tehnika. Valikud muutusid lugemisest, muutmisest ja täisjuhtimisest kuni. Loe ja loe / kirjuta. Idee oli osa kogu Home Groupi mõtteviisist ja muudab selle hõlpsaks jagamiseks mitte-arvutiteadvate inimeste kausta. Seda tehakse kontekstimenüü kaudu ja jagate lihtsalt oma kodurühmaga.

Kui soovid jagada kellegagi, kes ei ole kodurühmas, võite alati valida suvandi „Konkreetsed inimesed…“. Mis tooks esile rohkem “keerukama” dialoogi. Kus saab määrata konkreetse kasutaja või grupi.

Seal on ainult kaks luba, nagu eelnevalt mainitud, koos nad pakuvad oma kaustadele ja failidele tervet või mitte mingit kaitsekava.

1. Loe luba on valik, vaata, ärge puudutage. Saaja võib faili avada, kuid mitte muuta või kustutada.
2. Lugema kirjutama on valik „tee midagi“. Adressaadid saavad faili avada, muuta või kustutada.

Vana kooli tee

Vana jagamisdialoogil oli rohkem võimalusi ja andis meile võimaluse jagada kausta teise alias, see võimaldas meil piirata samaaegsete ühenduste arvu ja seadistada vahemälu. Ükski selle funktsiooni ei kao Windows 7-s, vaid on varjatud suvandi “Advanced Sharing” all. Kui klõpsate paremal hiireklahvil ja lähete selle omadustele, leiate need jaotisest „Jagatud jagamine” jaotises Jagamine.

Kui klõpsate nupule „Advanced Sharing” (Täiustatud jagamine), mis nõuab kohalikke administraatori volitusi, saate konfigureerida kõik Windowsi varasemates versioonides tuttavad seaded.

Kui klõpsate õiguste nupule, esitatakse teile 3 seadistust, mida me kõik tunneme.

1. Loe luba võimaldab vaadata ja avada faile ja alamkatalooge ning teostada rakendusi. Kuid see ei võimalda teha muudatusi.
2. Muutma luba võimaldab teil seda teha Loe see lubab, lisab see ka võime lisada faile ja alamkatalooge, kustutada alamkaustu ja muuta failides olevaid andmeid.
3. Täielik kontroll on klassikaliste õiguste „midagi teha”, kuna see võimaldab teil teha kõiki eelmisi õigusi. Lisaks annab see teile täiustatud muutuva NTFS-loa, see kehtib ainult NTFS-kaustade puhul

NTFS-õigused

NTFS-luba võimaldab failide ja kaustade väga suurt kontrolli. Sellega võib öelda, et granulaarsus võib uustulnukale hirmuäratav olla. NTFS-luba saab määrata ka failipõhiselt ja kausta alusel. NTFS-luba seadistamiseks failile tuleb paremklõpsata ja minna failide atribuutidele, kuhu peate minema turvalisuse vahekaardile.

Kasutaja või rühma NTFS-lubade redigeerimiseks klõpsake nuppu Muuda.

Nagu näete, on NTFS-õigusi üsna palju, mis võimaldab neid lõhkuda. Kõigepealt vaatame NTFS-õigusi, mida saate failile seadistada.

1. Täielik kontroll võimaldab teil lugeda, kirjutada, muuta, täita, muuta atribuute, õigusi ja omada faili omandiõigust.
2. Muutma võimaldab teil faili atribuute lugeda, kirjutada, muuta, käivitada ja muuta.
3. Lugege ja käivitage võimaldab teil kuvada faili andmeid, atribuute, omanikku ja õigusi ning käivitada faili, kui see on programm.
4. Loe võimaldab avada faili, vaadata selle atribuute, omanikku ja õigusi.
5. Kirjutage võimaldab teil failile andmeid kirjutada, lisada failile ning lugeda või muuta selle atribuute.

NTFS-failide kaustade õigused on veidi erinevad, nii et saate neid vaadata.

1. Täielik kontroll võimaldab teil lugeda, kirjutada, muuta ja käivitada kaustas olevaid faile, muuta atribuute, õigusi ja omada selle kausta või failide omandiõigust.
2. Muutma võimaldab teil lugeda, kirjutada, muuta ja täita faile kaustas ja muuta kausta või failide atribuute.
3. Lugege ja käivitage võimaldab teil kuvada kausta sisu ja kuvada kaustas olevate failide andmeid, atribuute, omanikku ja õigusi ning käivitada kausta faile.
4. Kausta sisu loend võimaldab kuvada kausta sisu ja kuvada kaustas olevate failide andmeid, atribuute, omanikku ja õigusi.
5. Loe võimaldab teil kuvada faili andmeid, atribuute, omanikku ja õigusi.
6. Kirjutage võimaldab teil failile andmeid kirjutada, lisada failile ning lugeda või muuta selle atribuute.

Microsofti dokumentatsioonis on ka öeldud, et „List Folder Contents” võimaldab teil faile kausta sees täita, kuid selleks peate siiski „Read & Execute” lubama. See on väga segaduses dokumenteeritud luba.

Kokkuvõte

Kokkuvõttes on kasutajate nimed ja rühmad SID-i (turvaidentifikaator), jagamis- ja NTFS-litsentside alfanumbrilise stringi kujutised. LSSAS kontrollib lube ainult siis, kui neid kasutatakse võrgus, samas kui NTFS-õigused kehtivad ainult kohalikel masinatel. Loodan, et te kõik mõistate mõistlikult, kuidas Windows 7 failide ja kaustade turvalisust rakendatakse. Kui teil on küsimusi, võite kommentaarides vabalt helistada.