Nezabudnite sa pozrieť na predchádzajúce články v tejto sérii Geek School v systéme Windows 7:
- Predstavenie How-To Geek School
- Aktualizácie a migrácie
- Konfigurácia zariadení
- Správa diskov
- Správa aplikácií
- Spravovanie aplikácie Internet Explorer
- Základy adresovania IP
- Networking
- Bezdrôtové siete
- Brána firewall systému Windows
- Vzdialená správa
- Vzdialený prístup
- Monitorovanie, výkon a udržanie systému Windows až do dnešného dňa
A zostávajte na ladenie po zvyšok série celý tento týždeň.
Virtualizácia priečinkov
Systém Windows 7 predstavil pojem knižnice, ktorý vám umožnil mať centralizovanú polohu, z ktorej by ste mohli prezerať zdroje umiestnené inde v počítači. Konkrétne, funkcia knižníc vám umožnila pridať priečinky z ľubovoľného miesta počítača do jednej zo štyroch predvolených knižníc, Dokumenty, Hudba, Videá a Obrázky, ktoré sú ľahko dostupné z navigačnej table Windows Explorer.
- Keď do knižnice pridáte priečinok, samotný priečinok sa nepohne, skôr sa vytvorí odkaz na umiestnenie priečinka.
- Ak chcete do svojich knižníc pridať zdieľanú sieť, musí byť k dispozícii v režime offline, aj keď by ste mohli používať symbolické odkazy.
Ak chcete do knižnice pridať priečinok, jednoducho prejdite do knižnice a kliknite na odkaz umiestnenia.
Identifikátor zabezpečenia
Operačný systém Windows používa identifikátory SID na zastupovanie všetkých bezpečnostných zásad. SID sú len reťazce s premenlivou dĺžkou alfanumerických znakov, ktoré predstavujú stroje, používateľov a skupiny. SID sa pridávajú do zoznamov prístupových práv (zoznamy prístupových práv) vždy, keď udeľujete používateľovi alebo skupinovému povoleniu súbor alebo priečinok. V zákulisí sú SID uložené rovnakým spôsobom ako všetky ostatné dátové objekty: v binárnom. Keď však v systéme Windows uvidíte identifikátor SID, zobrazí sa pomocou čitateľnejšej syntaxe. Často nie je vidieť žiadnu formu SID v systéme Windows; najčastejším scenárom je, keď udeľujete niekomu povolenie na zdroj a potom odstráňte jeho používateľský účet. SID sa potom zobrazí v ACL. Takže sa môžete pozrieť na typický formát, v ktorom uvidíte SID v systéme Windows.
- Predpona "S"
- Číslo revízie štruktúry
- 48-bitová hodnota orgánu identifikátora
- Premenlivý počet 32-bitových hodnôt podradených autorít alebo relatívnych identifikátorov (RID)
Pomocou môjho SID na obrázku nižšie rozdelíme jednotlivé časti, aby sme lepšie porozumeli.
The SID Structure:
‘S’ – The first component of a SID is always an ‘S’. This is prefixed to all SIDs and is there to inform Windows that what follows is a SID. ’1′ – The second component of a SID is the revision number of the SID specification. If the SID specification was to change it would provide backwards compatibility. As of Windows 7 and Server 2008 R2, the SID specification is still in the first revision. ’5′ – The third section of a SID is called the Identifier Authority. This defines in what scope the SID was generated. Possible values for this sections of the SID can be:
- 0 – Null Authority
- 1 – World Authority
- 2 – Local Authority
- 3 – Creator Authority
- 4 – Non-unique Authority
- 5 – NT Authority
’21′ – The fourth component is sub-authority 1. The value ’21′ is used in the fourth field to specify that the sub-authorities that follow identify the Local Machine or the Domain. ’1206375286-251249764-2214032401′ – These are called sub-authority 2,3 and 4 respectively. In our example this is used to identify the local machine, but could also be the the identifier for a Domain. ’1000′ – Sub-authority 5 is the last component in our SID and is called the RID (Relative Identifier). The RID is relative to each security principle: please note that any user defined objects, the ones that are not shipped by Microsoft, will have a RID of 1000 or greater.
Bezpečnostné princípy
Bezpečnostným princípom je všetko, čo má SID pripojené k nemu. Môžu to byť používatelia, počítače a dokonca aj skupiny. Bezpečnostné princípy môžu byť lokálne alebo v kontexte domény. Spravujete zásady lokálnej bezpečnosti pomocou modulu snap-in Lokálne používatelia a skupiny pod vedením počítača. Ak sa chcete tam dostať, kliknite pravým tlačidlom na skratku počítača v ponuke Štart a zvoľte správu.
Povolenie na zdieľanie a povolenie systému NTFS
V systéme Windows existujú dva typy oprávnení na súbory a priečinky. Po prvé, existujú povolenia na zdieľanie. Po druhé, existujú oprávnenia systému NTFS, ktoré sa tiež nazývajú povolenia na zabezpečenie. Zabezpečenie zdieľaných priečinkov sa zvyčajne vykonáva s kombináciou oprávnení na zdieľanie a NTFS. Pretože je to tak, je nevyhnutné pamätať na to, že platí najviac obmedzujúce povolenie. Ak napríklad povolenie na zdieľanie poskytuje povolenie na čítanie podľa zásady Everyone, ale povolenie NTFS umožňuje používateľom vykonať zmenu v súbore, bude mať prednosť povolenie na zdieľanie a používatelia nebudú môcť vykonávať zmeny. Keď nastavíte povolenia, LSASS (Local Security Authority) riadi prístup k prostriedku. Keď sa prihlásite, dostanete prístupový token s vaším identifikátorom SID. Keď prejdete na prístup k prostriedku, LSASS porovná SID, ktorý ste pridali do zoznamu prístupových práv ACL. Ak je SID v ACL, určuje, či povoliť alebo odmietnuť prístup. Bez ohľadu na to, aké povolenia používate, existujú rozdiely, takže sa pozrite na lepšie pochopenie toho, kedy by sme mali použiť čo.
Povolenia na zdieľanie:
- Platí len pre používateľov, ktorí pristupujú k sieti prostredníctvom siete. Neaplikujú sa, ak sa prihlásite na miestnej úrovni, napríklad prostredníctvom terminálnych služieb.
- Vzťahuje sa na všetky súbory a priečinky v zdieľanom prostriedku. Ak chcete poskytnúť podrobnejšiu schému obmedzenia, mali by ste okrem zdieľaných povolení používať aj oprávnenie NTFS
- Ak máte akékoľvek zväzky naformátované vo formáte FAT alebo FAT32, bude to jediná forma obmedzenia, ktoré máte k dispozícii, pretože oprávnenia NTFS nie sú v týchto systémoch súborov k dispozícii.
Povolenia NTFS:
- Jediným obmedzením oprávnení systému NTFS je, že môžu byť nastavené iba na zväzok, ktorý je naformátovaný do súborového systému NTFS
- Nezabudnite, že oprávnenia systému NTFS sú kumulatívne.To znamená, že efektívne povolenia používateľa sú výsledkom kombinácie pridelených oprávnení používateľa a oprávnení všetkých skupín, do ktorých používateľ patrí.
Nové povolenia na zdieľanie
Windows 7 si kúpil novú techniku zdieľania. Možnosti sa zmenili z Čítať, Zmeniť a Úplné ovládanie na Čítanie a Čítanie / Zápis. Táto myšlienka bola súčasťou celej mentality domácej skupiny a uľahčuje zdieľanie zložky pre ľudí bez počítača gramotnosti. To sa deje pomocou kontextovej ponuky a zdieľa s domácou skupinou ľahko.
- Read permission is the “look, don’t touch” option. Recipients can open, but not modify or delete a file.
- Read/Write is the “do anything” option. Recipients can open, modify, or delete a file.
Staré školské povolenie
Starý zdieľaný dialóg mal viac možností, napríklad možnosť zdieľať priečinok pod iným aliasom. Umožnilo nám obmedziť počet súčasných pripojení a konfigurovať ukladanie do vyrovnávacej pamäte. Žiadna z týchto funkcií nie je v systéme Windows 7 stratená, ale je skrytá pod možnosťou "Rozšírené zdieľanie". Ak kliknete pravým tlačidlom myši na priečinok a prejdete na jeho vlastnosti, nájdete tieto nastavenia "Zdieľané zdieľanie" na karte zdieľania.
- prečítať povolenie umožňuje prezerať a otvárať súbory a podadresáre, ako aj vykonávať aplikácie. Nepovoľuje však žiadne zmeny.
- pozmeniť povolenie vám umožňuje urobiť čokoľvek prečítať povolenie umožňuje, a tiež pridať možnosť pridať súbory a podadresáre, odstrániť podsložky a zmeniť dáta v súboroch.
- Úplné riadenie je "robiť čokoľvek" z klasických oprávnení, pretože umožňuje vykonávať všetky predchádzajúce povolenia. Okrem toho vám poskytuje rozšírené zmeny oprávnenia NTFS, ale platí len pre priečinky NTFS
Povolenia NTFS
Povolenia systému NTFS umožňujú veľmi zrozumiteľnú kontrolu nad vašimi súbormi a priečinkami. S tým, že množstvo granularity môže byť pre nováčikov skľučujúce. Môžete tiež nastaviť povolenie NTFS na základe súboru, ako aj podľa jednotlivých priečinkov. Ak chcete nastaviť oprávnenie NTFS v súbore, mali by ste kliknúť pravým tlačidlom a prejsť na vlastnosti súboru a potom prejsť na kartu zabezpečenia.
- Full Control allows you to read, write, modify, execute, change attributes, permissions, and take ownership of the file.
- Modify allows you to read, write, modify, execute, and change the file’s attributes.
- Read & Execute will allow you to display the file’s data, attributes, owner, and permissions, and run the file if it’s a program.
- Read will allow you to open the file, view its attributes, owner, and permissions.
- Write will allow you to write data to the file, append to the file, and read or change its attributes.
Povolenia pre priečinky systému NTFS majú mierne odlišné možnosti, takže ich môžete pozrieť.
- Full Control will allow you to read, write, modify, and execute files in the folder, change attributes, permissions, and take ownership of the folder or files within.
- Modify will allow you to read, write, modify, and execute files in the folder, and change attributes of the folder or files within.
- Read & Execute will allow you to display the folder’s contents and display the data, attributes, owner, and permissions for files within the folder, and run files within the folder.
- List Folder Contents will allow you to display the folder’s contents and display the data, attributes, owner, and permissions for files within the folder, and run files within the folder
- Read will allow you to display the file’s data, attributes, owner, and permissions.
- Write will allow you to write data to the file, append to the file, and read or change its attributes.
zhrnutie
Súhrnne, mená používateľov a skupiny sú reprezentácie alfanumerického reťazca s názvom SID (Security Identifier). Zdieľanie a oprávnenia NTFS sú viazané na tieto SID. Povolenia na zdieľanie sú skontrolované spoločnosťou LSSAS len vtedy, keď sú prístupné cez sieť, zatiaľ čo oprávnenia systému NTFS sa kombinujú s oprávneniami na zdieľanie, čo umožňuje väčšiu úroveň zabezpečenia prístupu k zdrojom po sieti aj lokálne.
Prístup k zdieľanému prostriedku
Takže teraz, keď sme sa dozvedeli o dvoch metódach, ktoré môžeme použiť na zdieľanie obsahu na našich počítačoch, ako naozaj ide o prístup k nim cez sieť? Je to veľmi jednoduché. Do navigačného panela zadajte nasledujúce.
computernamesharename
Poznámka: Zrejme budete musieť nahradiť meno počítača pre názov počítača, ktorý hosťuje zdieľanie a názov zdieľaného názvu, pre názov podielu.
- Používame čisté použitie príkaz mapovať jednotku.
- Používame * aby sme označili, že chceme použiť ďalšie dostupné písmeno jednotky.
- Nakoniec sme zadajte podiel chceme namapovať disk. Všimnite si, že sme použili úvodzovky, pretože cesta UNC obsahuje medzery.
Šifrovanie súborov pomocou systému šifrovania súborov
Systém Windows obsahuje možnosť šifrovania súborov v zväzku NTFS. To znamená, že iba vy budete môcť dešifrovať súbory a zobraziť ich. Ak chcete zašifrovať súbor, jednoducho kliknite naň pravým tlačidlom myši a vyberte vlastnosti z kontextového menu.
Domáca úloha
- Získajte informácie o dedičstve a účinných povoleniach.
- Prečítajte si tento dokument spoločnosti Microsoft.
- Zistite, prečo by ste chceli použiť BranchCache.
- Zistite, ako zdieľať tlačiarne a prečo by ste chceli.