Как да разберем тези объркващи Windows 7 файлове / разрешения за споделяне

Били ли сте някога се опитали да разбера всички разрешения в Windows? Има разрешения за споделяне, разрешения за NTFS, списъци за контрол на достъпа и др. Ето как всички те работят заедно.

Идентификаторът за сигурност

Операционните системи Windows използват SID, за да представят всички принципи на сигурността. SID са само струнни променливи дължини с буквено-цифрови знаци, които представляват машини, потребители и групи. SID адресите се добавят към списъците за управление на достъпа (списъци за контрол на достъпа) всеки път, когато давате разрешение на потребител или група на файл или папка. Зад сцената SIDs се съхраняват по същия начин, по който всички останали данни са в двоичен вид. Въпреки това, когато видите SID в Windows, той ще се покаже, използвайки по-четлив синтаксис. Често няма да виждате никаква форма на SID в Windows, най-често срещаният сценарий е, когато дадете на някого разрешение на даден ресурс, а след това неговият потребителски акаунт се изтрива, след което той ще се покаже като SID в ACL. Така че нека разгледаме типичния формат, в който ще видите SID в Windows.

Нотата, която ще видите, има определен синтаксис, по-долу са различните части на SID в тази нотация.

1. Префикс "S"
2. Номер на ревизия на структурата
3. 48-битова идентификационна стойност на орган
4. Променлив брой 32-битови стойности за под-орган или относителен идентификатор (RID)

Използвайки моя SID в изображението по-долу, ще разделим различните секции, за да получим по-добро разбиране.

Структурата на SID:

'С' - Първият компонент на SID е винаги "S". Това е префикс на всички SID и е там, за да информира Windows, че това, което следва е SID.
'1' - Вторият компонент на SID е номерът на ревизията на спецификацията SID, ако спецификацията SID трябваше да го промени, би осигурила обратна съвместимост. От Windows 7 и Server 2008 R2 спецификацията SID все още е в първата ревизия.
'5' - Третият раздел на SID се нарича идентификационен орган. Това определя в какъв обхват се генерира SID. Възможните стойности за тази част от SID могат да бъдат:

1. 0 - Нула орган
2. 1 - Световен орган
3. 2 - Местен орган
4. 3 - Създател
5. 4 - Не-уникален орган
6. 5 - NT орган

'21' - Четвъртият компонент е под-орган 1, стойността "21" се използва в четвъртото поле, за да се уточни, че следващите подрегиони определят местната машина или домейна.
'1206375286-251249764-2214032401' - Те се наричат ​​второстепенни 2, 3 и 4 съответно. В нашия пример това се използва за идентифициране на локалната машина, но може да бъде и идентификаторът на даден домейн.
'1000' - Под-орган 5 е последният компонент в нашия SID и се нарича RID (Относителен идентификатор), RID е относим към всеки принцип за сигурност. Имайте предвид, че всички обекти, дефинирани от потребителя, тези, които не са изпратени от Microsoft, ще имат RID от 1000 или повече.

Принципи на сигурност

Принципът на сигурност е всичко, което е свързано със SID, това могат да бъдат потребители, компютри и дори групи. Принципите на сигурност могат да бъдат местни или да са в контекста на домейна. Управлявате местните принципи за сигурност чрез модула Local Users and Groups, под управлението на компютъра. За да направите това, кликнете с десния бутон върху прекия път на компютъра в стартовото меню и изберете управление.

За да добавите нов принцип за сигурност на потребителите, можете да отидете в папката на потребителите и да кликнете с десния бутон на мишката и да изберете нов потребител.

Ако кликнете два пъти върху потребител, можете да го добавите към група за защита в раздела "Членове".

За да създадете нова група за сигурност, отидете в папката Групи от дясната страна. Кликнете с десния бутон върху бялото и изберете нова група.

Споделяне на разрешения и разрешение за NTFS

В Windows има два типа разрешения за файлове и папки, на първо място има разрешенията за споделяне и второ има и разрешения за NTFS, наречени "разрешения за защита". Обърнете внимание, че когато споделяте папка по подразбиране, групата "Всеки" получава разрешението за четене. Осигуряването на папки обикновено се извършва с комбинация от споделяне и разрешение за NTFS, ако това е така, е важно да запомните, че винаги се прилага най-рестриктивното, например ако разрешението за споделяне е зададено на Everyone = Read (което е по подразбиране) но разрешението за NTFS позволява на потребителите да правят промени във файла, разрешението за споделяне ще отнеме предпочитание и потребителите няма да могат да извършват промени. Когато зададете разрешенията, LSASS (Local Security Authority) контролира достъпа до ресурса. Когато влезете, получавате означение за достъп със SID, когато отидете за достъп до ресурса, LSASS сравнява SID, който сте добавили към списъка за контрол на достъпа (ACL) и ако SID е в ACL, той определя дали да разрешите или откажете достъп. Независимо какви разрешения използвате, има разлики, така че нека да разгледаме по-добре да разберем кога трябва да използваме това.

Споделяне на разрешения:

1. Прилага се само за потребители, които имат достъп до ресурса в мрежата. Те не се прилагат, ако се логвате локално, например чрез терминални услуги.
2. Той се отнася за всички файлове и папки в споделения ресурс. Ако искате да предоставите по-подробен вид ограничителна схема, трябва да използвате разрешение за NTFS в допълнение към споделените разрешения
3. Ако имате FAT или FAT32 форматирани томове, това ще бъде единствената форма на ограничение, достъпна за вас, тъй като NTFS Permissions не са достъпни за тези файлови системи.

NTFS разрешения:

1. Единственото ограничение за разрешенията за NTFS е, че те могат да бъдат зададени само на обем, форматиран към NTFS файловата система
2. Не забравяйте, че NTFS са кумулативни, което означава, че ефективните разрешения на потребителите са резултат от комбинирането на присвоените разрешения на потребителя и разрешенията на всички групи, към които принадлежи потребителят.

Новите разрешения за споделяне

Windows 7 купи по нова "лесна" техника за споделяне.Опциите са променени от Прочети, Промени и Пълен контрол до. Четене и четене / запис. Идеята е част от цялостната манталитет на домашната група и улеснява споделянето на папка за неграмотните хора. Това става лесно чрез контекстното меню и споделя с вашата домашна група.

Ако искате да споделите с някой, който не е в домашната група, винаги можете да изберете опцията "Специфични хора ...". Което ще доведе до по-сложен диалог. Къде можете да посочите конкретен потребител или група.

Има само две разрешения, както споменахме по-рано, заедно предлагат схема за защита на всички или нищо за папките и файловете ви.

1. Прочети разрешението е опцията "изглежда, не докосвайте". Получателите могат да отварят, но да не променят или изтриват файл.
2. Чети пиши е опцията "направи нищо". Получателите могат да отварят, променят или изтриват файл.

Старият училищен път

Старият диалог за споделяне имаше повече опции и ни даде възможност да споделяме папката под различен псевдоним, позволяваше ни да ограничим броя на едновременните връзки, както и да конфигурираме кеширането. Нито една от тези функции не е загубена в Windows 7, а е скрита под опцията "Разширено споделяне". Ако кликнете с десния бутон на мишката върху папка и отидете в нейните свойства, можете да намерите тези настройки "Разширено споделяне" в раздела "Споделяне".

Ако кликнете върху бутона "Разширено споделяне", който изисква идентификационни данни на местен администратор, можете да конфигурирате всички настройки, които сте познавали в предишните версии на Windows.

Ако кликнете върху бутона за разрешения, ще получите 3 настройки, които всички ние познаваме.

1. Прочети разрешението ви позволява да преглеждате и отваряте файлове и поддиректории, както и да изпълнявате приложения. Това обаче не позволява извършването на промени.
2. Промяна разрешението ви позволява да направите всичко това Прочети разрешение позволява, той също така добавя възможността за добавяне на файлове и поддиректории, изтриване на подпапки и промяна на данните в файловете.
3. Пълен контрол е "направи нищо" от класическите разрешения, тъй като ви позволява да правите каквото и да е предишното разрешение. Освен това ви дава разширено променящо се разрешение за NTFS, това важи само за NTFS папки

NTFS Permissions

Разрешението за NTFS позволява много строг контрол върху файловете и папките ви. С това казано, количеството на зрялост може да бъде обезсърчително за новодошлия. Можете също така да зададете разрешение за NTFS на базата на файл, както и на основа на папка. За да зададете разрешение за NTFS на файл, трябва да кликнете с десния бутон на мишката и да отидете на файловите свойства, където ще трябва да отидете в раздела за сигурност.

За да редактирате разрешенията за NTFS за потребител или група, кликнете върху бутона за редактиране.

Както може да видите, има доста разрешения за NTFS, така че нека да ги разбием. Първо ще разгледаме разрешенията за NTFS, които можете да зададете във файл.

1. Пълен контрол ви позволява да четете, пишете, променяте, изпълнявате, променяте атрибути, разрешения и поемате собствеността върху файла.
2. Промяна ви позволява да четете, пишете, променяте, изпълнявате и променяте атрибутите на файла.
3. Прочетете и изпълнете ще ви позволи да показвате данните, атрибутите, собственика и разрешенията на файла и да стартирате файла, ако е негова програма.
4. Прочети ще ви позволи да отворите файла, да видите неговите атрибути, собственик и разрешения.
5. пиша ще ви позволи да записвате данни във файла, да добавяте към файла и да четете или променяте неговите атрибути.

NTFS разрешенията за папки имат леко различни опции, така че нека да ги разгледаме.

1. Пълен контрол ви позволява да четете, пишете, променяте и изпълнявате файлове в папката, променяте атрибути, разрешения и поемате собствеността върху папката или файловете в нея.
2. Промяна ви позволява да четете, пишете, променяте и изпълнявате файлове в папката и променяте атрибутите на папката или файловете в нея.
3. Прочетете и изпълнете ще ви позволи да показвате съдържанието на папката и да показвате данните, атрибутите, собственика и разрешенията за файлове в папката и да стартирате файлове в папката.
4. Списък на съдържанието на папките ще ви позволи да показвате съдържанието на папката и да показвате данните, атрибутите, собственика и разрешенията за файлове в папката.
5. Прочети ще ви позволи да показвате данните, атрибутите, собственика и разрешенията на файла.
6. пиша ще ви позволи да записвате данни във файла, да добавяте към файла и да четете или променяте неговите атрибути.

Документацията на Microsoft също гласи, че "Съдържанието на папката на списъците" ви позволява да изпълнявате файлове в папката, но все пак ще трябва да активирате "Read & Execute", за да направите това. Това е много объркващо документирано разрешение.

резюме

В обобщение, потребителските имена и групи са изображения на буквено-цифров низ, наречен SID (Security Identifier), Споделяне и NTFS разрешения са свързани с тези SIDs. Споделянето на разрешения се проверява от LSSAS само когато се осъществява достъп през мрежата, докато NTFS Permissions са валидни само за локалните машини. Надявам се, че всички сте добре запознати със сигурността на файловете и папките в Windows 7. Ако имате някакви въпроси, можете да прочетете коментарите си.