Geek Škola Učenje Windowsa 7 - Pristup resursima
U ovoj instalaciji Geek škole, pogledamo virtualizaciju mapa, SID-ove i dozvole, kao i sustav šifriranja datoteka.
Svakako provjerite prethodne članke u seriji Geek School na Windows 7:
- Uvođenje Kako-To Geek škola
- Nadogradnje i migracije
- Konfiguriranje uređaja
- Upravljanje diskovima
- Upravljanje aplikacijama
- Upravljanje preglednikom Internet Explorer
- Osnove IP adresiranja
- Umrežavanje
- Bežično umrežavanje
- Vatrozid za Windows
- Udaljeno upravljanje
- Udaljeni pristup
- Praćenje, performanse i održavanje Windows do datuma
I ostanite u toku s ostatkom serije ovaj tjedan.
Virtualizacija mapa
Windows 7 uveo je pojam knjižnica što vam je omogućilo da imate centraliziranu lokaciju s koje biste mogli vidjeti resurse koji se nalaze drugdje na vašem računalu. Konkretnije, značajka knjižnice omogućila je dodavanje mapa s bilo kojeg mjesta na računalu u jednu od četiri zadane knjižnice, dokumente, glazbu, videozapise i slike koje su lako dostupne iz navigacijskog okna programa Windows Explorer.
Postoje dvije važne stvari koje treba imati na umu o značajci knjižnice:
- Kada mapu dodate u biblioteku, sama se mapa ne pomiče, nego se kreira veza s lokacijom mape.
- Da biste dodali mrežni dio svojim bibliotekama, on mora biti dostupan izvanmrežno, iako možete upotrijebiti i radove oko upotrebe simboličkih veza.
Da biste dodali mapu u biblioteku, jednostavno idite u knjižnicu i kliknite na vezu lokacije.
Zatim kliknite gumb za dodavanje.
Sada pronađite mapu koju želite uključiti u biblioteku i kliknite gumb Uključi mapu.
To je sve.
Identifikator sigurnosti
Operacijski sustav Windows koristi SID-ove za predstavljanje svih načela sigurnosti. SID-ovi su samo nizovi različitih duljina alfanumeričkih znakova koji predstavljaju strojeve, korisnike i grupe. SID-ovi se dodaju u ACL-ove (Popisi kontrole pristupa) svaki put kada dodijelite dozvolu korisniku ili skupini datoteku ili mapu. Iza kulisa, SID-ovi su pohranjeni na isti način kao i svi drugi podatkovni objekti: u binarnom. Međutim, kada u sustavu Windows vidite SID, prikazat će se pomoću čitljivije sintakse. Nije često da ćete u sustavu Windows vidjeti bilo koji oblik SID-a; najčešći scenarij je kada nekome dopustite dozvolu za resurs, a zatim izbrišete njegov korisnički račun. SID će se tada pojaviti u ACL-u. Tako ćemo pogledati tipičan format u kojem ćete vidjeti SID-ove u sustavu Windows.
Oznaka koju ćete vidjeti uzima određenu sintaksu. U nastavku su navedeni različiti dijelovi SID-a.
- Prefiks "S"
- Broj revizije strukture
- 48-bitna vrijednost ovlaštenja identifikatora
- Promjenjivi broj vrijednosti 32-bitnog pod-ovlaštenja ili relativnog identifikatora (RID)
Pomoću mog SID-a na slici ispod ćemo podijeliti različite odjeljke kako bismo bolje razumjeli.
Struktura SID-a:
'S' - Prva komponenta SID-a je uvijek 'S'. Ovo je prefiks za sve SID-ove i tu je da obavijesti Windows da je ono što slijedi SID.
'1' - Druga komponenta SID-a je broj revizije SID specifikacije. Ako je SID specifikacija trebala promijeniti, osigurala bi kompatibilnost unatrag. Od Windowsa 7 i Server 2008 R2, SID specifikacija je još uvijek u prvoj reviziji.
'5' - Treći dio SID-a naziva se Identifier Authority. Time se definira u kojem je opsegu generiran SID. Moguće vrijednosti za ove odjeljke SID-a mogu biti:
- 0 - Null tijelo
- 1 - Svjetsko tijelo
- 2 - Lokalna uprava
- 3 - Autoritet autora
- 4 - Ne-jedinstveno ovlaštenje
- 5 - NT autoritet
'21' - Četvrta komponenta je pod-ovlaštenje 1. Vrijednost "21" se koristi u četvrtom polju kako bi se naznačilo da pod-vlasti koje slijede identificiraju Lokalni stroj ili Domenu.
'1206375286-251249764-2214032401' - Oni se nazivaju pod-ovlasti 2,3 i 4. U našem primjeru to se koristi za identifikaciju lokalnog računala, ali može biti i identifikator za domenu.
1000 " - Pod-tijelo 5 je posljednja komponenta u našem SID-u i naziva se RID (Relative Identifier). RID se odnosi na svaki princip sigurnosti: imajte na umu da će svi korisnički definirani objekti, oni koje Microsoft ne šalje, imati RID od 1000 ili veći.
Načela sigurnosti
Načelo sigurnosti je sve što ima SID. To mogu biti korisnici, računala, pa čak i grupe. Principi sigurnosti mogu biti lokalni ili u kontekstu domene. Lokalna sigurnosna načela upravljate pomoću snap-ina Local Users and Groups (Lokalni korisnici i grupe) u sklopu upravljanja računalom. Da biste tamo stigli, kliknite desnom tipkom miša na prečac računala u izborniku Start i odaberite upravljanje.
Da biste dodali novi princip sigurnosti korisnika, možete otići u mapu Korisnici i desnim klikom odabrati New User.
Ako dvaput kliknete na korisnika, možete ih dodati u sigurnosnu grupu na kartici Član.
Da biste stvorili novu sigurnosnu grupu, idite na mapu Grupe na desnoj strani. Kliknite desnom tipkom miša na bijeli prostor i odaberite Nova grupa.
Dijeli dozvole i NTFS dopuštenje
U sustavu Windows postoje dvije vrste dozvola za datoteke i mape. Prvo, postoje Dozvole dijeljenja. Drugo, postoje NTFS dozvole, koje se nazivaju i Permissions. Osiguravanje zajedničkih mapa obično se radi s kombinacijom Dijeli i NTFS dozvole. Budući da je to slučaj, važno je zapamtiti da se najstrože ograničavajuće dopuštenje uvijek primjenjuje. Na primjer, ako dopuštenje dijeljenja daje dopuštenje čitanja principu Sigurnost za svakoga, ali dopuštenje NTFS dopušta korisnicima da naprave promjene u datoteci, dozvola za dijeljenje će imati prednost, a korisnicima neće biti dopušteno vršiti promjene. Kada postavite dozvole, LSASS (Lokalno sigurnosno tijelo) kontrolira pristup resursu. Kada se prijavite, dobivate pristupni token sa svojim SID-om na njemu. Kada pristupite resursu, LSASS uspoređuje SID koji ste dodali u ACL (Popis kontrole pristupa). Ako je SID na ACL-u, on određuje hoće li dopustiti ili zabraniti pristup. Bez obzira koje dozvole koristite, postoje razlike, pa pogledajmo kako bismo bolje razumjeli kada bismo trebali koristiti.
Dozvole dijeljenja:
- Primjenjuju se samo na korisnike koji pristupaju resursu putem mreže. Ne primjenjuju se ako se prijavite lokalno, primjerice putem terminalskih usluga.
- To se odnosi na sve datoteke i mape u zajedničkom resursu. Ako želite pružiti detaljniju vrstu ograničenja, trebate koristiti dopuštenje NTFS-a uz zajedničke dozvole
- Ako imate formatirane jedinice FAT ili FAT32, to će biti jedini oblik ograničenja koji vam je dostupan, jer NTFS dozvole nisu dostupne na tim sustavima datoteka.
Dozvole NTFS:
- Jedino ograničenje za NTFS dozvole je da se mogu postaviti samo na volumen koji je formatiran u datotečnom sustavu NTFS
- Zapamtite da su dozvole NTFS kumulativne. To znači da su korisnikove korisne dozvole rezultat kombiniranja korisnikovih dodijeljenih dozvola i dozvola bilo koje grupe kojoj korisnik pripada.
Nove dozvole za dijeljenje
Windows 7 kupio je uz novu "jednostavnu" tehniku dijeljenja. Opcije su se mijenjale s opcije Read, Change i Full Control na Read i Read / Write. Ideja je bila dio cjelokupnog mentaliteta Homegroup-a i olakšava dijeljenje mape za ne-računalne ljude. To se postiže putem kontekstnog izbornika i lako dijeli s matičnom grupom.
Ako ste htjeli podijeliti s nekim tko nije u matičnoj grupi, uvijek možete odabrati opciju "Specifični ljudi ...". To bi dovelo do "razrađenog" dijaloga gdje biste mogli navesti korisnika ili grupu.
Postoje samo dvije dozvole, kao što je već spomenuto. Zajedno, oni nude sve ili ništa zaštitne sheme za vaše mape i datoteke.
- Čitati dopuštenje je opcija "pogledaj, ne diraj". Primatelji mogu otvoriti, ali ne izmijeniti ili izbrisati datoteku.
- Read / Write je opcija "uradi bilo što". Primatelji mogu otvoriti, izmijeniti ili izbrisati datoteku.
Dozvola za staru školu
Dijalog starog dijeljenja imao je više opcija, kao što je mogućnost dijeljenja mape pod drugim pseudonimom. To nam je omogućilo da ograničimo broj istovremenih veza kao i da konfiguriramo predmemoriranje. Nijedna od ovih funkcija nije izgubljena u sustavu Windows 7, već je skrivena pod opcijom pod nazivom "Napredno dijeljenje". Ako kliknete desnom tipkom miša na mapu i krenete na njezina svojstva, možete pronaći postavke "Napredno dijeljenje" na kartici dijeljenja.
Ako kliknete gumb "Napredno dijeljenje" koji zahtijeva vjerodajnice lokalnog administratora, možete konfigurirati sve postavke s kojima ste bili upoznati u prethodnim verzijama sustava Windows.
Ako kliknete gumb za dozvole, prikazat će vam se tri postavke s kojima smo svi upoznati.
- Čitati dopuštenje omogućuje pregled i otvaranje datoteka i poddirektorija te izvršavanje aplikacija. Međutim, to ne dopušta nikakve izmjene.
- izmijeniti dopuštenje vam omogućuje da učinite bilo što Čitati dopušta dopuštenje, a dodaje i mogućnost dodavanja datoteka i poddirektorija, brisanja podmapa i izmjene podataka u datotekama.
- Potpuna kontrola je "učiniti sve" od klasičnih dozvola, jer vam omogućuje da učinite sve prethodne dozvole. Osim toga, daje vam naprednu izmjenu NTFS dozvole, ali to vrijedi samo za NTFS mape
NTFS dozvole
NTFS dozvole omogućuju vrlo granularnu kontrolu nad vašim datotekama i mapama. S tim u vezi, količina zrnatosti može biti zastrašujuća za pridošlicu. Također možete postaviti dopuštenje NTFS-a za svaku datoteku kao i za svaku mapu. Da biste postavili NTFS dopuštenje za datoteku, trebate kliknuti desnom tipkom miša i otići do svojstava datoteke, a zatim otići na karticu sigurnosti.
Da biste uredili NTFS dozvole za korisnika ili grupu, kliknite gumb za uređivanje.
Kao što možete vidjeti, dosta je dopuštenja NTFS-a, pa ih razgradimo. Prvo ćemo pogledati NTFS dozvole koje možete postaviti na datoteku.
- Potpuna kontrola omogućuje vam čitanje, pisanje, izmjenu, izvršavanje, promjenu atributa, dopuštenja i preuzimanje vlasništva nad datotekom.
- izmijeniti omogućuje vam čitanje, pisanje, izmjenu, izvršavanje i promjenu atributa datoteke.
- Čitanje i izvršavanje će vam omogućiti da prikažete podatke, atribute, vlasnika i dozvole datoteke i pokrenete datoteku ako je to program.
- Čitati omogućit će vam da otvorite datoteku, pogledate njezine atribute, vlasnika i dozvole.
- Pisati omogućit će vam da zapišete podatke u datoteku, dodate datoteku i pročitate ili promijenite njene atribute.
NTFS Dozvole za mape imaju malo različite opcije, pa ih pogledajte.
- Potpuna kontrola omogućit će vam da čitate, pišete, mijenjate i izvršavate datoteke u mapi, mijenjate atribute, dozvole i preuzimate vlasništvo nad mapom ili datotekama unutar.
- izmijeniti će vam omogućiti da čitate, pišete, mijenjate i izvršavate datoteke u mapi i mijenjate atribute unutar mape ili datoteka.
- Čitanje i izvršavanje omogućit će vam prikaz sadržaja mape i prikaz podataka, atributa, vlasnika i dozvola za datoteke unutar mape te pokretanje datoteka unutar mape.
- Popis sadržaja mape omogućit će vam prikaz sadržaja mape i prikaz podataka, atributa, vlasnika i dozvola za datoteke unutar mape te pokretanje datoteka unutar mape
- Čitati omogućit će vam prikaz podataka, atributa, vlasnika i dopuštenja datoteke.
- Pisati omogućit će vam da zapišete podatke u datoteku, dodate datoteku i pročitate ili promijenite njene atribute.
Sažetak
Ukratko, korisnička imena i grupe su reprezentacije alfanumeričkog niza nazvanog SID (Security Identifier). Dozvole dijeljenja i NTFS su povezane s tim SID-ovima. Dozvole za dijeljenje provjerava LSSAS samo kada im se pristupa putem mreže, dok se dozvole NTFS kombiniraju s Dozvolama dijeljenja kako bi se omogućila veća razina sigurnosti za resurse kojima se pristupa putem mreže kao i na lokalnoj razini.
Pristup dijeljenom resursu
Dakle, sada kada smo saznali o dvije metode koje možemo koristiti za dijeljenje sadržaja na našim računalima, kako zapravo ići o pristupu preko mreže? Vrlo je jednostavno. Samo utipkajte sljedeće u navigacijsku traku.
\\ naziv računala \ NazivResursaKojiSeZajedničkiKoristi
Napomena: Očito ćete morati zamijeniti ime računala za ime računala koje dijeli i sharename za ime dijeljenja.
Ovo je sjajno za jednokratne veze, ali što je u većem korporativnom okruženju? Sigurno ne morate podučavati korisnike kako se povezati s mrežnim resursom pomoću ove metode. Da biste zaobišli ovo, htjet ćete mapirati mrežni pogon za svakog korisnika, na taj način ih možete savjetovati da pohrane svoje dokumente na "H" pogon, umjesto da pokušavaju objasniti kako se povezati s dijeljenjem. Da biste mapirali pogon, otvorite Računalo i kliknite gumb "Karta mrežnog pogona".
Zatim jednostavno upišite UNC put dijeljenja.
Vaš vjerojatno pitate ako morate to učiniti na svakom računalu, i srećom odgovor je ne. Umjesto toga, možete napisati skupni skript za automatsko mapiranje pogona za svoje korisnike pri prijavi i implementaciju putem pravila grupe.
Ako seciramo naredbu:
- Koristimo neto korištenje naredbu za mapiranje pogona.
- Mi koristimo * kako bismo označili da želimo koristiti sljedeće raspoloživo slovo pogona.
- Konačno smo navedite udio želimo mapirati pogon na. Primijetite da smo koristili navodnike jer UNC staza sadrži razmake.
Šifriranje datoteka pomoću sustava šifriranja datoteka
Windows uključuje mogućnost šifriranja datoteka na NTFS disku. To znači da samo vi možete dešifrirati datoteke i vidjeti ih. Da biste šifrirali datoteku, jednostavno je kliknite desnom tipkom i odaberite svojstva iz kontekstnog izbornika.
Zatim kliknite napredni.
Sada označite potvrdni okvir Šifriraj sadržaj da biste osigurali podatke, a zatim kliknite U redu.
Sada nastavite i primijenite postavke.
Trebamo samo šifrirati datoteku, ali imate i mogućnost šifriranja nadređene mape.
Zapamtite da kada je datoteka šifrirana postaje zelena.
Sada ćete primijetiti da ćete samo vi moći otvoriti datoteku i da drugi korisnici na istom računalu neće moći. Postupak šifriranja koristi šifriranje javnog ključa, tako da su ključevi za šifriranje sigurni. Ako ih izgubite, vaša datoteka je nestala i nema načina da je oporavite.
Domaća zadaća
- Saznajte više o nasljeđivanju dopuštenja i učinkovitim dozvolama.
- Pročitajte ovaj Microsoftov dokument.
- Saznajte zašto želite koristiti BranchCache.
- Saznajte kako dijeliti pisače i zašto biste to željeli.