Geek School Učení systému Windows 7 - přístup k prostředkům

V této instalaci Geek School se podíváme na virtualizaci složek, SID a oprávnění, stejně jako systém šifrování souborů.

Nezapomeňte se podívat na předchozí články této série Geek School v systému Windows 7:

• Představujeme Jak na to Geek School
• Aktualizace a migrace
• Konfigurace zařízení
• Správa disků
• Správa aplikací
• Správa aplikace Internet Explorer
• Základy adresování IP
• Sítě
• Bezdrátové sítě
• Brána firewall systému Windows
• Vzdálená správa
• Vzdálený přístup
• Monitorování, výkon a udržování systému Windows až do dnešního dne

A zůstaňte v klidu po zbytek série celý týden.

Virtualizace složek

Windows 7 představil pojem knihoven, který vám umožnil mít centralizovanou polohu, ze které můžete zobrazit zdroje umístěné jinde v počítači. Přesněji řečeno, funkce knihoven umožňuje přidávat složky z libovolného místa v počítači do jedné ze čtyř výchozích knihoven, Dokumenty, Hudba, Videa a Obrázky, které jsou snadno dostupné z navigačního okna aplikace Průzkumník Windows.

Dvě důležité věci o knihovně jsou důležité:

• Při přidání složky do knihovny se samotná složka nepohybuje, spíše se vytvoří odkaz na umístění složky.
• Abyste do knihoven přidali síťovou sdílenou složku, musí být k dispozici v režimu offline, ačkoli byste mohli používat práci pomocí symbolických odkazů.

Chcete-li do knihovny přidat složku, jednoduše přejděte do knihovny a klikněte na odkaz umístění.

Poté klikněte na tlačítko Přidat.

Nyní najděte složku, kterou chcete zahrnout do knihovny, a klepněte na tlačítko Zahrnout složku.

To je vše, co je k tomu.

Identifikátor zabezpečení

Operační systém Windows používá SID k zastupování všech bezpečnostních zásad. SID jsou pouze řetězce s proměnnou délkou alfanumerických znaků, které představují stroje, uživatele a skupiny. SID jsou přidávány do seznamu ACL (Seznamy řízení přístupu) pokaždé, když udělíte uživateli nebo skupinovému oprávnění souboru nebo složce. Za scénami jsou SID uloženy stejně jako všechny ostatní datové objekty: v binárním. Když se však v systému Windows zobrazí SID, zobrazí se pomocí srozumitelnější syntaxe. Není časté, že uvidíte v systému Windows nějakou formu SID; nejběžnějším scénářem je, když někomu udělíte oprávnění k prostředku, a pak jej odstraníte. SID se pak zobrazí v seznamu ACL. Takže se podívejte na typický formát, ve kterém uvidíte SID v systému Windows.

Označení, které uvidíte, má určitou syntaxi. Níže jsou různé části SID.

• Předpona 'S'
• Číslo revize struktury
• Hodnota autority 48bitového identifikátoru
• Proměnné množství 32-bitových podřízenců nebo relativních identifikátorů (RID)

Použitím svého SID na obrázku níže rozdělíme jednotlivé sekce, abychom získali lepší pochopení.

Struktura SID:

'S' - První složka SID je vždy "S". To je předznačeno všem SID a je zde informovat systém Windows, že následuje SID.
'1' - Druhou složkou SID je číslo revize specifikace SID. Pokud by se změnila specifikace SID, poskytovala by zpětnou kompatibilitu. Od Windows 7 a Server 2008 R2 je specifikace SID stále v první revizi.
'5' - Třetí část identifikátoru SID se nazývá identifikační autorita. Toto definuje, v jakém rozsahu byl generován SID. Možné hodnoty pro tyto části SID mohou být:

• 0 - Null Authority
• 1 - Světový úřad
• 2 - Místní úřad
• 3 - autorita tvůrce
• 4 - Nezávislý úřad
• 5 - úřad NT

'21' - Čtvrtou složkou je sub-autorita 1. Hodnota "21" se ve čtvrtém poli používá k určení, že následující sub-orgány označují místní počítač nebo doménu.
'1206375286-251249764-2214032401' - Tito se nazývají sub-autorita 2,3 a 4. V našem příkladu se používá k identifikaci lokálního počítače, ale může být také identifikátorem domény.
'1000' - Sub-authority 5 je poslední součástí našeho SID a nazývá se RID (Relative Identifier). RID je relativní vůči každému principu zabezpečení: Vezměte prosím na vědomí, že všechny objekty definované uživatelem, které nejsou dodány společností Microsoft, budou mít RID 1000 nebo vyšší.

Bezpečnostní zásady

Zásada zabezpečení je něco, co má SID k němu připojen. Mohou to být uživatelé, počítače a dokonce i skupiny. Zásady zabezpečení mohou být lokální nebo mohou být v kontextu domény. Spravujete zásady místní bezpečnosti pomocí modulu snap-in Místní uživatelé a skupiny pod správou počítače. Chcete-li se tam dostat, klepněte pravým tlačítkem na zástupce počítače v nabídce Start a zvolte správu.

Chcete-li přidat nový princip zabezpečení uživatelů, můžete přejít do složky Uživatelé a kliknout pravým tlačítkem myši a zvolit Nový uživatel.

Pokud dvakrát kliknete na uživatele, můžete je přidat do skupiny zabezpečení na kartě Člen.

Chcete-li vytvořit novou skupinu zabezpečení, přejděte do složky Skupiny na pravé straně. Klikněte pravým tlačítkem myši na prázdné místo a vyberte možnost Nová skupina.

Sdílení oprávnění a oprávnění NTFS

V systému Windows existují dva typy oprávnění k souborům a složkám. Za prvé, existují oprávnění ke sdílení. Za druhé, existují oprávnění NTFS, které se nazývají také bezpečnostní oprávnění. Zabezpečení sdílených složek se obvykle provádí pomocí kombinace oprávnění ke sdílení a NTFS. Vzhledem k tomu, že je tomu tak, je důležité si uvědomit, že platí nejvíce omezující povolení. Pokud například oprávnění ke sdílení dává oprávnění ke čtení Everyone bezpečnostní princip, ale oprávnění NTFS umožňují uživatelům provést změnu souboru, má priorita sdílení přednost a uživatelům nebude povoleno provádět změny. Když nastavíte oprávnění, LSASS (Local Security Authority) řídí přístup k prostředku. Když se přihlásíte, dostanete k němu přístupový token s vaším SID. Při přístupu k prostředku LSASS porovnává identifikátor SID, který jste přidali do seznamu ACL (Access Control List). Pokud je identifikátor SID v seznamu ACL, určí, zda povolit nebo zamítnout přístup. Bez ohledu na to, jaké oprávnění používáte, existují rozdíly, takže se podívejme, abychom lépe porozuměli tomu, kdy bychom měli použít co.

Oprávnění ke sdílení:

• Platí pouze pro uživatele, kteří přistupují k síti prostřednictvím sítě. Neaplikují se, pokud se přihlašujete místně, například prostřednictvím terminálových služeb.
• Platí pro všechny soubory a složky ve sdíleném prostředku. Chcete-li poskytnout podrobnější schéma omezení, měli byste kromě sdílených oprávnění používat oprávnění NTFS
• Pokud máte nějaké svazky ve formátu FAT nebo FAT32, bude to jediná forma omezení, které máte k dispozici, protože oprávnění NTFS nejsou k dispozici v těch systémech souborů.

Oprávnění NTFS:

• Jediným omezením oprávnění NTFS je to, že lze nastavit pouze na svazek, který je naformátován do systému souborů NTFS
• Pamatujte, že oprávnění NTFS jsou kumulativní. To znamená, že efektivní oprávnění uživatele jsou výsledkem kombinace přiřazených oprávnění uživatele a oprávnění všech skupin, do kterých uživatel patří.

Nové oprávnění ke sdílení

Systém Windows 7 si koupil novou "jednoduchou" techniku ​​sdílení. Možnosti se změnily z Read, Change a Full Control na Read a Read / Write. Myšlenka byla součástí celé myšlenky Homegroup a umožňuje snadné sdílení složky pro osoby bez počítačové gramotnosti. To se provádí pomocí kontextové nabídky a sdílí se s vaší domácí skupinou snadno.

Chcete-li se podělit s někým, kdo není v domácí skupině, můžete vždy zvolit možnost "Specifické osoby ...". Což by vyvolalo více "komplikované" dialogové okno, kde byste mohli zadat uživatele nebo skupinu.

Existují pouze dvě oprávnění, jak bylo uvedeno výše. Společně nabízejí schéma ochrany pro všechny složky a soubory.

1. Číst oprávnění je možnost "vypadat, nedotýkejte se". Příjemci mohou otevírat soubor, ale nemodifikovat ani odstraňovat.
2. Číst psát je možnost "dělat cokoliv". Příjemci mohou soubor otevřít, upravit nebo smazat.

Staré školní povolení

Starý sdílený dialog měl více možností, například možnost sdílet složku pod jiným aliasem. Umožnilo nám omezit počet současných připojení a konfigurovat ukládání do mezipaměti. Žádná z těchto funkcí není v systému Windows 7 ztracena, spíše se skrývá pod volbou "Pokročilé sdílení". Pokud klepnete pravým tlačítkem myši na složku a přejdete na její vlastnosti, můžete na kartě sdílení najít tato nastavení "Pokročilé sdílení".

Pokud klepnete na tlačítko Rozšířené sdílení, které vyžaduje pověření místního správce, můžete nakonfigurovat všechna nastavení, která jste obeznámili s předchozími verzemi systému Windows.

Pokud klepnete na tlačítko oprávnění, zobrazí se Vám 3 nastavení, která jsou nám známa.

• Číst oprávnění umožňuje zobrazit a otevřít soubory a podadresáře stejně jako spouštět aplikace. Neumožňuje však žádné změny.
• Upravit povolení vám umožňuje dělat cokoli Číst oprávnění umožňuje, a také přidat schopnost přidat soubory a podadresáře, odstranit podsložky a změnit data v souborech.
• Plná kontrola je "dělat cokoliv" z klasických oprávnění, protože umožňuje provádět všechna předchozí oprávnění. Navíc vám poskytuje pokročilé oprávnění pro systém NTFS, ale platí pouze pro složky NTFS

Oprávnění NTFS

Oprávnění NTFS umožňují velmi granulární kontrolu nad soubory a složkami. Tím se říká, že množství granularity může být pro začínajícího člověka skličující. Můžete také nastavit oprávnění NTFS na základě souboru, stejně jako podle složky. Chcete-li nastavit oprávnění NTFS v souboru, měli byste pravým tlačítkem myši a přejděte na vlastnosti souboru a přejděte na kartu zabezpečení.

Chcete-li upravit oprávnění NTFS pro uživatele nebo skupinu, klepněte na tlačítko Upravit.

Jak můžete vidět, existuje spousta oprávnění NTFS, tak je rozbijeme. Nejprve se podíváme na oprávnění NTFS, které můžete nastavit v souboru.

• Plná kontrola umožňuje číst, psát, upravovat, provádět, měnit atributy, oprávnění a převzít vlastnictví souboru.
• Upravit umožňuje číst, psát, upravovat, provádět a měnit atributy souboru.
• Čtení a spouštění vám umožní zobrazit data, atributy, vlastník a oprávnění souboru a spustit soubor, pokud je to program.
• Číst vám umožní otevřít soubor, zobrazit jeho atributy, vlastníka a oprávnění.
• Napsat vám umožní zapisovat data do souboru, připojit k souboru a číst nebo změnit jeho atributy.

Oprávnění NTFS pro složky mají mírně odlišné možnosti, takže se na ně můžete podívat.

• Plná kontrola vám umožní číst, psát, upravovat a spouštět soubory ve složce, měnit atributy, oprávnění a převzít vlastnictví složky nebo souborů v rámci.
• Upravit vám umožní číst, psát, upravovat a spouštět soubory ve složce a měnit atributy složky nebo souborů v rámci.
• Čtení a spouštění vám umožní zobrazit obsah složky a zobrazit data, atributy, majitele a oprávnění pro soubory ve složce a spustit soubory ve složce.
• Seznam obsahu složky vám umožní zobrazit obsah složky a zobrazit data, atributy, majitele a oprávnění pro soubory ve složce a spustit soubory ve složce
• Číst vám umožní zobrazit data, atributy, majitele a oprávnění souboru.
• Napsat vám umožní zapisovat data do souboru, připojit k souboru a číst nebo změnit jeho atributy.

souhrn

Shrnuto, uživatelská jména a skupiny jsou reprezentace alfanumerického řetězce s názvem SID (Security Identifier). Sdílení a oprávnění NTFS jsou svázány s těmito SID. Sdílení oprávnění kontroluje společnost LSSAS pouze v případě, že je přístupná přes síť, zatímco oprávnění systému souborů NTFS jsou kombinována s oprávněními ke sdílení, což umožňuje větší úroveň zabezpečení pro přístup k prostředkům po síti i místně.

Přístup k sdílenému zdroji

Takže, když jsme se dozvěděli o dvou metodách, které můžeme použít ke sdílení obsahu na našich počítačích, jakým způsobem se k nim přistupujete v síti? Je to velmi jednoduché. Do navigačního panelu stačí zadat následující.

\\ název_počítače \ sharename

Poznámka: Je zřejmé, že budete muset nahradit název počítače pro název počítače, který hostuje název sdílené položky a sdílené jméno, pro název sdílené položky.

To je skvělé pro jednorázové připojení, ale co ve větším firemním prostředí? Určitě nemusíte své uživatele učit, jak se k této síti připojit k síťovému zdroji. Chcete-li tuto situaci obejít, budete chtít mapovat síťovou jednotku pro každého uživatele. Tímto způsobem můžete poradit je, aby si ukládali své dokumenty na jednotku "H", a nikoli se pokoušeli vysvětlit, jak se připojit ke sdílené síti. Chcete-li namapovat jednotku, otevřete počítač a klepněte na tlačítko "síťová síťová jednotka".

Poté jednoduše zadejte cestu UNC sdílené položky.

Pravděpodobně se zajímáte, jestli to budete muset dělat na každém počítači, a naštěstí je odpověď ne. Spíše můžete napsat dávkový skript pro automatické mapování jednotek pro uživatele při přihlašování a nasazení pomocí zásad skupiny.

Pokud rozbijeme příkaz:

• Používáme čisté využití příkaz mapovat jednotku.
• Používáme * * abychom označili, že chceme použít další dostupné písmeno jednotky.
• Konečně jsme určit akci chceme namapovat disk. Všimněte si, že používáme citace, protože cesta UNC obsahuje mezery.

Šifrování souborů pomocí šifrovacího systému souborů

Systém Windows obsahuje možnost šifrování souborů na svazku NTFS. To znamená, že pouze vy budete moci soubory dešifrovat a zobrazit je. Za účelem šifrování souboru jednoduše klikněte na něj a v kontextové nabídce vyberte vlastnosti.

Pak klikněte na pokročilé.

Nyní zaškrtněte políčko Zašifrovat obsah do zabezpečených dat a potom klepněte na tlačítko OK.

Nyní pokračujte a použijte nastavení.

Potřebujete šifrovat pouze soubor, ale máte také možnost šifrování nadřazené složky.

Vezměte na vědomí, že jakmile je soubor zašifrován, změní se na zelenou.

Nyní zjistíte, že pouze soubor budete moci otevřít a ostatní uživatelé na jednom počítači nebudou moci. Proces šifrování používá šifrování veřejného klíče, takže šifrovací klíče udržujte v bezpečí. Pokud je ztratíte, váš soubor je pryč a není možné jej obnovit.

Domácí práce

• Přečtěte si o dědičném oprávnění a efektivní oprávnění.
• Přečtěte si tento dokument společnosti Microsoft.
• Zjistěte, proč chcete použít BranchCache.
• Naučte se, jak sdílet tiskárny a proč byste chtěli.