Kā saprast šīs neskaidras Windows 7 failu / koplietošanas atļaujas
Vai esat kādreiz mēģinājis noskaidrot visas Windows atļaujas? Ir koplietošanas atļaujas, NTFS atļaujas, piekļuves kontroles saraksti un citi. Lūk, kā viņi visi strādā kopā.
Drošības identifikators
Windows operētājsistēmas izmanto SID, lai atspoguļotu visus drošības principus. SID ir tikai dažāda garuma burtciparu rakstzīmju virknes, kas pārstāv mašīnas, lietotājus un grupas. SID tiek pievienoti ACL (piekļuves kontroles sarakstiem) katru reizi, kad piešķirat lietotāja vai grupas atļauju failam vai mapei. Aiz skatuves SID tiek saglabāti tādā pašā veidā, kā visi pārējie datu objekti, binārā. Tomēr, ja redzat SID Windows, tas tiks rādīts, izmantojot vieglāk lasāmu sintaksi. Bieži vien jūs neredzēsiet jebkādu SID veidu Windows, visbiežāk sastopamais scenārijs ir, ja piešķirat kādam resursam resursus, tad to lietotāja konts tiek dzēsts, tad tas parādīsies kā SID ACL. Tātad ļauj apskatīt tipisko formātu, kādā jūs redzēsiet SID sistēmā Windows.
Apzīmējums, ko redzēsiet, aizņem noteiktu sintaksi, zemāk ir dažādas SID daļas šajā apzīmējumā.
- “S” prefikss
- Struktūras pārskatīšanas numurs
- 48 bitu identifikācijas iestādes vērtība
- Mainīgs skaits 32 bitu sub-iestāde vai relatīvā identifikatora (RID) vērtības
Izmantojot manu SID zemāk redzamajā attēlā, mēs sadalīsim dažādas sadaļas, lai iegūtu labāku izpratni.
SID struktūra:
'S' - SID pirmais komponents vienmēr ir “S”. Tas ir pievienots visiem SID un ir jāinformē Windows, ka turpmāk ir SID.
'1' - SID otrais komponents ir SID specifikācijas rediģēšanas numurs, ja SID specifikācijai bija jāmaina, tas nodrošinās atgriezenisku savietojamību. Sākot ar Windows 7 un Server 2008 R2, SID specifikācija joprojām ir pirmajā pārskatīšanā.
'5' - Trešo SID sadaļu sauc par Identifikācijas iestādi. Tas nosaka, kādā apjomā SID tika izveidots. Iespējamās šīs SID sadaļas vērtības var būt:
- 0 - Null iestāde
- 1 - Pasaules iestāde
- 2 - Vietējā pašvaldība
- 3 - Radītāja iestāde
- 4 - Neatbilstoša iestāde
- 5 - NT iestāde
'21' - Ceturtā sastāvdaļa ir apakšvirsraksts 1, ceturtā laukā vērtība “21”, lai norādītu, ka apakšvirzieni, kas seko, identificē vietējo mašīnu vai domēnu.
'1206375286-251249764-2214032401' - Tos sauc par apakšvienību 2,3 un 4. Mūsu piemērā tas tiek izmantots, lai identificētu vietējo mašīnu, bet tas varētu būt arī domēna identifikators.
'1000' - Apakšinstitūcija 5 ir mūsu SID pēdējā sastāvdaļa, un to sauc par RID (relatīvais identifikators), RID ir atkarīgs no katra drošības principa, lūdzu, ņemiet vērā, ka visiem lietotāja definētiem objektiem, tiem, kurus nesūta Microsoft, būs RID 1000 vai vairāk.
Drošības principi
Drošības princips ir viss, kam ir pievienots SID, tie var būt lietotāji, datori un pat grupas. Drošības principi var būt lokāli vai domēna kontekstā. Jūs pārvaldāt vietējos drošības principus, izmantojot vietējo lietotāju un grupu papildprogrammu, izmantojot datora vadību. Lai nokļūtu tur labajā pusē, noklikšķiniet uz datora īsceļa sākuma izvēlnē un izvēlieties pārvaldīt.
Lai pievienotu jaunu lietotāja drošības principu, varat doties uz lietotāju mapi un labo klikšķi un izvēlēties jaunu lietotāju.
Ja veicat dubultklikšķi uz lietotāja, jūs varat pievienot tos drošības grupai cilnē Dalībnieki.
Lai izveidotu jaunu drošības grupu, dodieties uz mapi Grupas labajā pusē. Ar peles labo pogu noklikšķiniet uz baltās telpas un atlasiet jaunu grupu.
Koplietojiet atļaujas un NTFS atļauju
Sistēmā Windows ir divu veidu failu un mapju atļaujas, pirmkārt, ir koplietošanas atļaujas un, otrkārt, ir NTFS atļaujas, ko sauc arī par drošības atļaujām. Ņemiet vērā, ka, koplietojot mapi pēc noklusējuma, grupa “Ikviens” saņem lasīšanas atļauju. Drošība mapēs parasti tiek veikta, apvienojot Share un NTFS atļauju, ja tas ir gadījumā, ir svarīgi atcerēties, ka visbiežāk ierobežojošais vienmēr ir spēkā, piemēram, ja akciju atļauja ir iestatīta uz Visiem = Lasīt (kas ir noklusējums), bet NTFS atļauja ļauj lietotājiem izdarīt izmaiņas failā, dalības atļaujai būs priekšroka, un lietotājiem nebūs atļauts veikt izmaiņas. Iestatot atļaujas, LSASS (vietējās drošības iestāde) kontrolē piekļuvi resursiem. Kad jūs piesakāties, jums tiek piešķirts piekļuves marķējums ar jūsu SID, kad dodaties uz piekļuvi resursiem, LSASS salīdzina SID, ko pievienojāt ACL (piekļuves kontroles saraksts), un, ja SID atrodas ACL, tas nosaka, vai atļaut vai liegt piekļuvi. Neatkarīgi no tā, kādas atļaujas jūs izmantojat, pastāv atšķirības, lai ļautu apskatīt, lai iegūtu labāku izpratni par to, kad mums vajadzētu izmantot to.
Koplietot atļaujas:
- Tas attiecas tikai uz lietotājiem, kuri piekļūst resursiem tīklā. Tie netiek piemēroti, ja piesakāties lokāli, piemēram, izmantojot termināļa pakalpojumus.
- Tas attiecas uz visiem koplietojamā resursa failiem un mapēm. Ja vēlaties nodrošināt granulētāku ierobežojumu shēmu, papildus koplietotajām atļaujām jāizmanto NTFS atļauja
- Ja jums ir FAT vai FAT32 formatēti apjomi, tas būs vienīgais ierobežojuma veids, kas pieejams jums, jo NTFS atļaujas šajās failu sistēmās nav pieejamas.
NTFS atļaujas:
- Vienīgais ierobežojums NTFS atļaujām ir tas, ka tos var iestatīt tikai tādā apjomā, kas ir formatēts NTFS failu sistēmā
- Atcerieties, ka NTFS ir kumulatīvi, kas nozīmē, ka lietotāju efektīvas atļaujas ir lietotāja piešķirto atļauju un jebkuras grupas lietotāju, kam lietotājs pieder, apvienošanas rezultāts..
Jaunās koplietošanas atļaujas
Windows 7 iegādājās jaunu „vieglo” koplietošanas tehniku. Iespējas mainījās no Lasīt, Mainīt un Pilna kontrole uz. Lasīt un lasīt / rakstīt. Ideja bija daļa no visas Home grupas mentalitātes un padara to viegli koplietojamu mapi, kas nav domāta datorizētiem cilvēkiem. Tas tiek darīts, izmantojot konteksta izvēlni un viegli koplietot jūsu mājas grupu.
Ja vēlaties dalīties ar kādu, kas nav mājas grupā, jūs vienmēr varat izvēlēties opciju “Īpaši cilvēki…”. Kas radītu vēl „detalizētāku” dialogu. Kur jūs varat norādīt konkrētu lietotāju vai grupu.
Ir tikai divas atļaujas, kā minēts iepriekš, kopā tās piedāvā visu vai neko aizsardzības shēmu jūsu mapēm un failiem.
- Lasīt atļauja ir opcija “meklēt, nepieskarieties”. Adresāti var atvērt, bet ne mainīt vai dzēst failu.
- Lasīt rakstīt ir opcija “darīt jebko”. Adresāti var atvērt, modificēt vai dzēst failu.
Vecās skolas ceļš
Vecajam kopīgošanas dialogam bija vairāk iespēju un deva mums iespēju koplietot mapi ar citu pseidonīmi, ļaujot mums ierobežot vienlaicīgu savienojumu skaitu, kā arī konfigurēt kešatmiņu. Neviena no šīm funkcijām nav zaudēta sistēmā Windows 7, bet tā ir paslēpta zem opcijas, ko sauc par “Advanced Sharing”. Ja ar peles labo pogu noklikšķināt uz mapes un doties uz tās īpašībām, šos koplietošanas iestatījumus varat atrast cilnē Koplietošana.
Ja noklikšķināt uz pogas “Advanced Sharing”, kas prasa vietējo administratora akreditācijas datus, varat konfigurēt visus iestatījumus, kas bija pazīstami iepriekšējās Windows versijās.
Ja noklikšķināsiet uz atļaujas pogas, tiks parādīti 3 iestatījumi, kas mums visiem ir pazīstami.
- Lasīt atļauja ļauj skatīt un atvērt failus un apakšdirektorijas, kā arī izpildīt lietojumprogrammas. Tomēr tas neļauj veikt izmaiņas.
- Modificēt atļauja ļauj jums kaut ko darīt Lasīt atļauja ļauj, tā arī pievieno iespēju pievienot failus un apakšdirektorijas, dzēst apakšmapes un mainīt datus failos.
- Pilna kontrole ir klasisko atļauju “darīt kaut ko”, jo tas ļauj jums veikt visas iepriekšējās atļaujas. Turklāt tas sniedz jums uzlabotas mainīgās NTFS atļaujas, tas attiecas tikai uz NTFS mapēm
NTFS atļaujas
NTFS atļauja ļauj veikt ļoti smalku kontroli pār jūsu failiem un mapēm. Ar to teica, ka granularitātes apjoms var būt biedējošs jaunpienācējam. Varat arī iestatīt NTFS atļauju uz faila pamata, kā arī katrai mapei. Lai iestatītu NTFS atļauju uz faila, jums vajadzētu noklikšķināt ar peles labo pogu un doties uz faila rekvizītiem, kur jums būs jāiet uz drošības cilni.
Lai rediģētu lietotāja vai grupas NTFS atļaujas, noklikšķiniet uz pogas Rediģēt.
Kā jūs varat redzēt, ir diezgan daudz NTFS atļauju, kas ļauj tos nojaukt. Vispirms mēs apskatīsim NTFS atļaujas, kuras var iestatīt failā.
- Pilna kontrole ļauj lasīt, rakstīt, modificēt, izpildīt, mainīt atribūtus, atļaujas un veikt īpašumtiesības uz šo failu.
- Modificēt ļauj lasīt, rakstīt, modificēt, izpildīt un mainīt faila atribūtus.
- Lasīt un izpildīt ļaus jums parādīt faila datus, atribūtus, īpašnieku un atļaujas, un palaist failu, ja tā ir programma.
- Lasīt ļaus jums atvērt failu, apskatīt tā atribūtus, īpašnieku un atļaujas.
- Rakstīt ļaus jums rakstīt datus failā, pievienot failam un lasīt vai mainīt tā atribūtus.
NTFS mapju atļaujās ir nedaudz atšķirīgas iespējas, lai to apskatītu.
- Pilna kontrole ļauj lasīt, rakstīt, modificēt un izpildīt mapē esošos failus, mainīt atribūtus, atļaujas un veikt īpašumtiesības uz mapi vai failiem.
- Modificēt ļauj lasīt, rakstīt, modificēt un izpildīt failus mapē un mainīt mapes vai failu atribūtus.
- Lasīt un izpildīt ļaus jums parādīt mapes saturu un parādīt mapē esošos failus, atribūtus, īpašniekus un atļaujas, kā arī palaist failus mapē.
- Saraksta mapes saturs ļaus jums parādīt mapes saturu un parādīt mapē esošos failus, atribūtus, īpašnieku un atļaujas.
- Lasīt ļaus jums parādīt faila datus, atribūtus, īpašnieku un atļaujas.
- Rakstīt ļaus jums rakstīt datus failā, pievienot failam un lasīt vai mainīt tā atribūtus.
Microsoft dokumentācijā arī norādīts, ka “List Folder Contents” ļaus jums izpildīt mapē esošos failus, bet, lai to izdarītu, jums joprojām būs jāiespējo “Read & Execute”. Tā ir ļoti neskaidri dokumentēta atļauja.
Kopsavilkums
Kopumā lietotāju vārdi un grupas ir burtu un ciparu virknes, ko sauc par SID (drošības identifikators), koplietošanas un NTFS atļaujas ir saistītas ar šiem SID. Dalīšanās atļaujas LSSAS pārbauda tikai tad, kad tās tiek piekļūt tīklā, bet NTFS atļaujas ir derīgas tikai vietējās iekārtās. Es ceru, ka jums visiem ir laba izpratne par to, kā tiek īstenota Windows 7 failu un mapju drošība. Ja jums ir kādi jautājumi, komentāros varat izklausīties.