Како разумети оне које конфузију Виндовс 7 Филе / Схаре дозволе

Да ли сте икада покушали да откријете све дозволе у ​​оперативном систему Виндовс? Постоје дозволе за дељење, НТФС дозволе, листе контроле приступа и још много тога. Ево како сви раде заједно.

Идентификатор безбедности

Виндовс оперативни системи користе СИД-ове да представљају све принципе сигурности. СИД-ови су само низови променљиве дужине алфанумеричких знакова који представљају машине, кориснике и групе. СИД-ови се додају у АЦЛ-ове (Листе контроле приступа) сваки пут када доделите дозволу кориснику или групи за датотеку или фасциклу. Иза сцене СИД-ови се складиште на исти начин као и сви други подаци у бинарном облику. Међутим, када видите СИД у Виндовс-у, он ће бити приказан користећи читљивију синтаксу. Није често да ћете видети било који облик СИД-а у Виндовс-у, најчешћи сценарио је када некоме одобрите дозволу за ресурс, а затим се њихов кориснички налог обрише, а затим ће се појавити као СИД у АЦЛ-у. Зато погледајмо типичан формат у којем ћете видети СИД-ове у Виндовс-у.

Нотација коју ћете видети узима одређену синтаксу, испод су различити делови СИД-а у овој нотацији.

1. Префикс 'С'
2. Број ревизије структуре
3. 48-битна вредност овлашћења идентификатора
4. Број променљивих 32-битних под-овлашћења или релативних идентификационих вредности (РИД)

Користећи свој СИД на слици испод, разрадићемо различите секције да бисмо боље разумели.

Структура СИД-а:

'С' - Прва компонента СИД-а је увек 'С'. Ово је префикс за све СИД-ове и ту је да информише Виндовс да оно што следи је СИД.
'1' - Друга компонента СИД-а је број ревизије спецификације СИД-а, ако је СИД спецификација требала промијенити, то би омогућило компатибилност унатраг. Од Виндовс 7 и Сервер 2008 Р2 СИД спецификација је још увијек у првој ревизији.
"5" - Трећа секција СИД-а се зове Идентификаторска ауторизација. Ово дефинише у ком опсегу је генерисан СИД. Могуће вредности за ове секције СИД-а могу бити:

1. 0 - Нулл Аутхорити
2. 1 - Светска власт
3. 2 - Локална власт
4. 3 - Ауторитет аутора
5. 4 - Не-јединствено овлашћење
6. 5 - НТ Ауторитет

'21' - Четврта компонента је под-овлаштење 1, вриједност '21' се користи у четвртом пољу да би се назначило да под-власти које слиједе утврђују Локалну машину или Домену.
'1206375286-251249764-2214032401' - Они се називају под-овлаштења 2,3 и 4. У нашем примјеру ово се користи за идентификацију локалне машине, али може бити и идентификатор за домену.
'1000' - Под-ауторитет 5 је последња компонента у нашем СИД-у и назива се РИД (Релативе Идентифиер), РИД се односи на сваки принцип безбедности, имајте на уму да ће сви кориснички дефинисани објекти, они који нису испоручени од стране Мицрософт-а имати РИД од 1000 или више.

Принципи безбедности

Принцип сигурности је све што има СИД, а то могу бити корисници, рачунала и чак групе. Принципи сигурности могу бити локални или у контексту домена. Локалним принципима безбедности управљате помоћу додатка „Локални корисници и групе“, у оквиру управљања рачунарима. Да бисте дошли до њега, кликните десним тастером миша на пречицу на рачунару у стартном менију и изаберите управљање.

Да бисте додали нови принцип сигурности корисника, можете отићи у мапу корисника и десним кликом одабрати нови корисник.

Ако двапут кликнете на корисника, можете их додати у Сецурити Гроуп на картици Мембер Оф.

Да бисте креирали нову безбедносну групу, идите до фасцикле Групе на десној страни. Кликните десним тастером миша на празан простор и изаберите нову групу.

Дељење дозвола и НТФС дозвола

У Виндовсу постоје две врсте дозвола за датотеке и фасцикле, прво постоје Дозволе дељења, а друго постоје НТФС дозволе које се називају и безбедносне дозволе. Обратите пажњу да када поделите фасциклу подразумевано, групи „Сви“ се даје дозвола за читање. Безбедност у фасциклама се обично ради са комбинацијом Дељења и НТФС дозволе, ако је то случај, неопходно је запамтити да се најрестриктивније увек примењује, на пример, ако је дозвола за дељење постављена на Еверионе = Реад (која је подразумевана), али дозвола НТФС дозвољава корисницима да направе измене у датотеци, дозвола за дељење ће имати предност, а корисницима неће бити дозвољено да уносе измене. Када подесите дозволе, ЛСАСС (Локална безбедносна служба) контролише приступ ресурсу. Када се пријавите добијате приступни токен са вашим СИД-ом на њему, када идете да приступите ресурсу, ЛСАСС упоређује СИД који сте додали у АЦЛ (Аццесс Цонтрол Лист) и ако је СИД на АЦЛ-у одређује да ли дозволите или забраните приступ. Без обзира на то које дозволе користите, постоје разлике, па погледајмо како бисмо боље разумели када треба да користимо шта.

Дозволе дељења:

1. Примењује се само на кориснике који приступају ресурсу преко мреже. Не примењују се ако се пријавите локално, на пример преко терминала.
2. Примењује се на све датотеке и фасцикле у дељеном ресурсу. Ако желите да обезбедите грануларнију врсту рестрикционе шеме, треба да користите НТФС дозволу поред дељених дозвола
3. Ако имате ФАТ или ФАТ32 форматиране волумене, то ће бити једини облик ограничења који вам је на располагању, јер НТФС дозволе нису доступне на тим системима датотека.

Дозволе за НТФС:

1. Једино ограничење за НТФС дозволе је да се могу поставити само на волумен који је форматиран у НТФС датотечном систему
2. Запамтите да су НТФС кумулативни, што значи да су ефективне дозволе за кориснике резултат комбиновања корисникових додељених дозвола и дозвола било које групе којој корисник припада.

Нове дозволе за дељење

Виндовс 7 је купљен уз нову “еаси” технику дијељења. Опције су промењене са Реад, Цханге и Фулл Цонтрол на. Читање и читање / писање. Идеја је била део целокупног менталитета Хоме групе и олакшава дељење фасцикле за неписмене људе. Ово се врши преко контекстног менија и лако се дели са вашом кућном групом.

Ако сте хтели да поделите са неким ко није у матичној групи, увек бисте могли да изаберете опцију "Специфични људи ...". То би довело до "детаљнијег" дијалога. Гдје можете одредити одређеног корисника или групу.

Постоје само два допуштења као што је раније споменуто, заједно нуде схему заштите свих или ништа за ваше мапе и датотеке.

1. читати дозвола је опција „погледај, не додируј“. Приматељи могу отворити, али не мијењати или брисати датотеку.
2. Читање / писање је опција "уради било шта". Приматељи могу да отварају, мењају или бришу датотеку.

Пут старе школе

Дијалог са старим дељењем имао је више опција и дао нам је могућност да поделимо фасциклу под другим алиасом, што нам је омогућило да ограничимо број истовремених веза као и да конфигуришемо кеширање. Ниједна од ових функција није изгубљена у оперативном систему Виндовс 7, већ је скривена под опцијом под називом „Адванцед Схаринг“. Ако кликнете десним тастером миша на фасциклу и пређете на њена својства, можете да пронађете ова подешавања „Адванцед Схаринг“ у оквиру картице за дељење.

Ако кликнете на дугме „Напредно дељење“, које захтева акредитиве локалног администратора, можете да конфигуришете сва подешавања која су вам била позната у претходним верзијама оперативног система Виндовс.

Ако кликнете на дугме за дозволе, биће вам представљено 3 подешавања са којима смо сви упознати.

1. читати дозвола вам омогућава да прегледате и отварате датотеке и поддиректорије, као и да извршавате апликације. Међутим, он не дозвољава никакве измене.
2. Модификовати дозвола вам омогућава да урадите било шта читати дозвола допушта, она такође додаје могућност додавања датотека и поддиректоријума, брисања подфолдера и промене података у датотекама.
3. Потпуна контрола је "уради било шта" класичних дозвола, јер омогућава да урадиш било коју и све претходне дозволе. Поред тога, он вам даје напредну промену НТФС дозволе, ово се примењује само на НТФС фасцикле

Дозволе за НТФС

НТФС Дозвола дозвољава веома грануларну контролу над вашим датотекама и фасциклама. С тим речима количина грануларности може бити застрашујућа за новајлије. Такође можете подесити НТФС дозволу за сваку датотеку као и за сваку фасциклу. Да бисте подесили НТФС дозволу за датотеку, кликните десним тастером миша и идите на својства датотека где ћете морати да одете на безбедносну картицу.

Да бисте уредили НТФС дозволе за корисника или групу, кликните на дугме за уређивање.

Као што можете видети, постоји доста НТФС дозвола тако да их можемо разбити. Прво ћемо погледати НТФС дозволе које можете поставити на датотеку.

1. Потпуна контрола омогућава вам да читате, пишете, модификујете, извршавате, мењате атрибуте, дозволе и преузимате власништво над датотеком.
2. Модификовати омогућава вам да читате, пишете, модификујете, извршавате и мењате атрибуте датотеке.
3. Читање и извршавање ће вам омогућити да прикажете податке, атрибуте, власника и дозволе датотеке и покренете датотеку ако је њен програм.
4. читати ће вам омогућити да отворите датотеку, видите њене атрибуте, власника и дозволе.
5. Врите ће вам омогућити да запишете податке у датотеку, додате датотеку и прочитате или промените њене атрибуте.

НТФС Дозволе за фасцикле имају мало другачије опције па их можете погледати.

1. Потпуна контрола омогућава вам да читате, пишете, мењате и извршавате датотеке у фасцикли, мењате атрибуте, дозволе и преузимате власништво над фасциклом или датотекама у оквиру.
2. Модификовати дозвољава вам да читате, пишете, мењате и извршавате датотеке у фасцикли и да мењате атрибуте фасцикле или датотека у њој.
3. Читање и извршавање ће вам омогућити да прикажете садржај фолдера и прикажете податке, атрибуте, власника и дозволе за датотеке унутар фасцикле и да покренете датотеке у фасцикли.
4. Лист Фолдер Цонтентс ће вам омогућити да прикажете садржај фолдера и прикажете податке, атрибуте, власника и дозволе за датотеке унутар фасцикле.
5. читати ће вам омогућити да прикажете податке, атрибуте, власника и дозволе датотеке.
6. Врите ће вам омогућити да запишете податке у датотеку, додате датотеку и прочитате или промените њене атрибуте.

Документација компаније Мицрософт такође наводи да ће „Садржај фасцикле са листама“ омогућити да извршавате датотеке у оквиру фасцикле, али ће вам и даље бити потребно да омогућите „Читање и извршавање“ да бисте то урадили. То је веома забрињавајуће документована дозвола.

Сажетак

Укратко, корисничка имена и групе су репрезентације алфанумеричког низа који се зове СИД (Сецурити Идентифиер), Схаре и НТФС Пермиссионс су везани за ове СИД-ове. Дозволе за дељење ЛССАС проверава само када им се приступа преко мреже, док су НТФС дозволе валидне само на локалним машинама. Надам се да сви добро разумете како је имплементирана безбедност датотека и фасцикли у оперативном систему Виндовс 7. Ако имате било каквих питања слободно се јавите у коментарима.