Πώς να κατανοήσουν εκείνα τα συγχυτήρια αρχεία Windows 7 File / Share Permissions

Έχετε προσπαθήσει ποτέ να καταλάβετε όλα τα δικαιώματα στα Windows; Υπάρχουν δικαιώματα κοινής χρήσης, δικαιώματα NTFS, λίστες ελέγχου πρόσβασης και πολλά άλλα. Δείτε πώς συνεργάζονται όλοι μαζί.

Το αναγνωριστικό ασφαλείας

Τα λειτουργικά συστήματα Windows χρησιμοποιούν SID για να αντιπροσωπεύουν όλες τις αρχές ασφαλείας. Τα SIDs είναι απλά χορδές μεταβλητού μήκους αλφαριθμητικών χαρακτήρων που αντιπροσωπεύουν μηχανές, χρήστες και ομάδες. Τα SIDs προστίθενται στις λίστες ελέγχου πρόσβασης (Access Control Lists) κάθε φορά που χορηγείτε άδεια χρήστη ή ομάδας σε ένα αρχείο ή φάκελο. Πίσω από τη σκηνή, τα SIDs αποθηκεύονται με τον ίδιο τρόπο όπως όλα τα άλλα αντικείμενα δεδομένων είναι δυαδικά. Ωστόσο, όταν βλέπετε ένα SID στα Windows, θα εμφανίζεται χρησιμοποιώντας μια πιο ευανάγνωστη σύνταξη. Δεν είναι συχνά ότι θα δείτε οποιαδήποτε μορφή SID στα Windows, το πιο συνηθισμένο σενάριο είναι όταν χορηγείτε κάποιον άδεια σε έναν πόρο, τότε ο λογαριασμός του χρήστη διαγράφεται, τότε θα εμφανιστεί ως SID στον ACL. Επομένως, μπορείτε να ρίξετε μια ματιά στην τυπική μορφή στην οποία θα δείτε SID στα Windows.

Η σημείωση που θα δείτε παίρνει μια συγκεκριμένη σύνταξη, παρακάτω είναι τα διάφορα μέρη ενός SID σε αυτή τη συμβολική μορφή.

1. Πρόθεμα 'S'
2. Αριθμός αναθεώρησης δομής
3. Τιμή αρχής αναγνωριστικού 48-bit
4. Ένας μεταβλητός αριθμός τιμών 32-bit sub-authority ή σχετικού αναγνωριστικού (RID)

Χρησιμοποιώντας το SID μου στην παρακάτω εικόνα, θα διαχωρίσουμε τα διάφορα τμήματα για καλύτερη κατανόηση.

Η δομή SID:

'ΜΙΚΡΟ' - Το πρώτο στοιχείο ενός SID είναι πάντα ένα 'S'. Αυτό είναι προκαθορισμένο σε όλα τα SID και υπάρχει για να ενημερώσει τα Windows ότι αυτό που ακολουθεί είναι SID.
'1' - Το δεύτερο στοιχείο ενός SID είναι ο αριθμός αναθεώρησης της προδιαγραφής SID, εάν η προδιαγραφή SID επρόκειτο να αλλάξει, θα παρείχε συμβατότητα προς τα πίσω. Από τα Windows 7 και το Server 2008 R2, η προδιαγραφή SID βρίσκεται ακόμα στην πρώτη αναθεώρηση.
'5' - Το τρίτο τμήμα ενός SID ονομάζεται Αρχή Αναγνώρισης. Αυτό καθορίζει σε ποιο πεδίο δημιουργήθηκε το SID. Πιθανές τιμές για αυτές τις ενότητες του SID μπορεί να είναι:

1. 0 - Μηδενική Αρχή
2. 1 - Παγκόσμια Αρχή
3. 2 - Τοπική αρχή
4. 3 - Αρχή δημιουργού
5. 4 - Μη μοναδική Αρχή
6. 5 - Αρχή NT

'21' - Η τέταρτη συνιστώσα είναι η αρχή 1, η τιμή «21» χρησιμοποιείται στο τέταρτο πεδίο για να διευκρινιστεί ότι οι υποεπιχειρήσεις που ακολουθούν προσδιορίζουν την Τοπική Μηχανή ή τον Τομέα.
'1206375286-251249764-2214032401' - Αυτές ονομάζονται υποεπιχείρηση 2,3 και 4 αντίστοιχα. Στο παράδειγμά μας αυτό χρησιμοποιείται για την αναγνώριση της τοπικής μηχανής, αλλά μπορεί επίσης να είναι το αναγνωριστικό για έναν τομέα.
'1000' - Η υποεπιτροπή 5 είναι η τελευταία συνιστώσα του SID μας και ονομάζεται RID (Σχετικό Αναγνωριστικό), το RID είναι σχετικό με κάθε αρχή ασφάλειας, παρακαλούμε να σημειώσετε ότι οποιαδήποτε αντικείμενα που ορίζονται από το χρήστη, αυτά που δεν αποστέλλονται από τη Microsoft, θα έχουν RID 1000 ή μεγαλύτερη.

Αρχές Ασφαλείας

Μια αρχή ασφαλείας είναι οτιδήποτε έχει συνημμένο SID, μπορεί να είναι χρήστες, υπολογιστές και ομάδες. Οι αρχές ασφάλειας μπορεί να είναι τοπικές ή να βρίσκονται στο πεδίο του τομέα. Διαχειρίζεστε τις τοπικές αρχές ασφαλείας μέσω του συμπληρωματικού προγράμματος "Τοπικοί χρήστες και ομάδες", στο πλαίσιο διαχείρισης υπολογιστών. Για να κάνετε δεξί κλικ στη συντόμευση του υπολογιστή στο μενού έναρξης και επιλέξτε διαχειριστείτε.

Για να προσθέσετε μια νέα αρχή ασφάλειας χρηστών, μπορείτε να μεταβείτε στο φάκελο χρηστών και να κάνετε δεξί κλικ και να επιλέξετε νέο χρήστη.

Εάν κάνετε διπλό κλικ σε ένα χρήστη, μπορείτε να τα προσθέσετε σε μια ομάδα ασφαλείας στην καρτέλα Μέλος Από.

Για να δημιουργήσετε μια νέα ομάδα ασφαλείας, μεταβείτε στο φάκελο Ομάδες στη δεξιά πλευρά. Κάντε δεξί κλικ στο λευκό κενό και επιλέξτε νέα ομάδα.

Κοινόχρηστες άδειες και άδεια NTFS

Στα Windows υπάρχουν δύο τύποι δικαιωμάτων αρχείων και φακέλων, πρώτον, υπάρχουν οι Άδεια Κοινής Χρήσης και, δεύτερον, υπάρχουν Άδεια Χρήσης NTFS που καλούνται επίσης Δικαιώματα Ασφαλείας. Σημειώστε ότι όταν μοιράζεστε έναν φάκελο από προεπιλογή η ομάδα "Everyone" λαμβάνει την άδεια ανάγνωσης. Η ασφάλεια στους φακέλους συνήθως πραγματοποιείται με συνδυασμό του δικαιώματος κοινής χρήσης και του αρχείου NTFS, αν αυτό συμβαίνει, είναι σημαντικό να θυμάστε ότι ισχύει το πιο περιοριστικό, για παράδειγμα, εάν το δικαίωμα κοινής χρήσης έχει οριστεί σε Everyone = Read (το οποίο είναι το προεπιλεγμένο) αλλά η άδεια NTFS επιτρέπει στους χρήστες να κάνουν μια αλλαγή στο αρχείο, η άδεια χρήσης κοινής χρήσης θα προτιμά και οι χρήστες δεν θα επιτρέπεται να κάνουν αλλαγές. Όταν ρυθμίζετε τα δικαιώματα, η LSASS (Αρχή τοπικής ασφάλειας) ελέγχει την πρόσβαση στον πόρο. Όταν συνδεθείτε, σας δίνεται ένα αναγνωριστικό πρόσβασης με το SID σας, όταν πηγαίνετε για πρόσβαση στον πόρο, το LSASS συγκρίνει το SID που προσθέσατε στον κατάλογο ελέγχου πρόσβασης (ACL) και εάν το SID βρίσκεται στον ACL, καθορίζει εάν να επιτρέψετε ή να αρνηθείτε την πρόσβαση. Ανεξάρτητα από τα δικαιώματα που χρησιμοποιείτε, υπάρχουν διαφορές, επομένως σας επιτρέπουν να ρίξετε μια ματιά για να έχετε καλύτερη κατανόηση σχετικά με το πότε πρέπει να χρησιμοποιήσουμε τι.

Δικαιώματα διαμοιρασμού:

1. Ισχύουν μόνο για χρήστες που έχουν πρόσβαση στον πόρο μέσω του δικτύου. Δεν ισχύουν εάν συνδεθείτε τοπικά, για παράδειγμα μέσω υπηρεσιών τερματικών.
2. Εφαρμόζεται σε όλα τα αρχεία και τους φακέλους στον κοινόχρηστο πόρο. Εάν θέλετε να παρέχετε ένα πιο λεπτομερές σχήμα περιορισμού, θα πρέπει να χρησιμοποιήσετε το Άδεια NTFS εκτός από τα κοινόχρηστα δικαιώματα
3. Αν έχετε οποιουσδήποτε τόμους με μορφοποίηση FAT ή FAT32, αυτή θα είναι η μόνη μορφή περιορισμού που έχετε στη διάθεσή σας, καθώς τα δικαιώματα NTFS δεν είναι διαθέσιμα σε αυτά τα συστήματα αρχείων.

Δικαιώματα NTFS:

1. Ο μόνος περιορισμός των δικαιωμάτων του NTFS είναι ότι μπορούν να ρυθμιστούν μόνο σε έναν τόμο που έχει διαμορφωθεί στο σύστημα αρχείων NTFS
2. Να θυμάστε ότι το NTFS είναι σωρευτικό που σημαίνει ότι οι αποτελεσματικές άδειες χρηστών είναι το αποτέλεσμα του συνδυασμού των εκχωρημένων δικαιωμάτων του χρήστη και των δικαιωμάτων οποιωνδήποτε ομάδων ανήκει ο χρήστης.

Τα νέα δικαιώματα μετοχών

Τα Windows 7 αγόρασαν μια νέα τεχνική κοινής χρήσης. Οι επιλογές άλλαξαν από Ανάγνωση, Αλλαγή και Πλήρης έλεγχος σε. Ανάγνωση και ανάγνωση / εγγραφή. Η ιδέα ήταν μέρος ολόκληρης της νοοτροπίας της Ομάδας Home και διευκολύνει την κοινή χρήση ενός φακέλου για ανθρώπους χωρίς γνώσεις υπολογιστών. Αυτό γίνεται μέσω του μενού περιβάλλοντος και μοιράζεται εύκολα με την οικιακή ομάδα σας.

Εάν θέλετε να μοιραστείτε με κάποιον που δεν είναι στην οικιακή ομάδα, μπορείτε πάντα να επιλέξετε την επιλογή "Ειδικοί άνθρωποι ...". Το οποίο θα φέρει ένα πιο "περίπλοκο" διάλογο. Από όπου μπορείτε να καθορίσετε συγκεκριμένο χρήστη ή ομάδα.

Υπάρχουν μόνο δύο δικαιώματα, όπως αναφέρθηκε προηγουμένως, μαζί προσφέρουν ένα σύστημα προστασίας παντού ή τίποτα για τους φακέλους και τα αρχεία σας.

1. Ανάγνωση η άδεια είναι η επιλογή "ματιά, μην αγγίζετε". Οι παραλήπτες μπορούν να ανοίξουν, αλλά να μην τροποποιήσουν ή να διαγράψουν ένα αρχείο.
2. Διαβάζω γράφω είναι η επιλογή "κάνουμε οτιδήποτε". Οι παραλήπτες μπορούν να ανοίξουν, να τροποποιήσουν ή να διαγράψουν ένα αρχείο.

Ο δρόμος της παλιάς σχολής

Το παλιό παράθυρο διαμοιρασμού είχε περισσότερες επιλογές και μας έδωσε την επιλογή να μοιραστούμε το φάκελο με ένα διαφορετικό ψευδώνυμο, μας επέτρεψε να περιορίσουμε τον αριθμό των ταυτόχρονων συνδέσεων καθώς και να διαμορφώσουμε την προσωρινή αποθήκευση. Καμία από αυτές τις λειτουργίες δεν χάθηκε στα Windows 7, αλλά μάλλον αποκρύπτεται κάτω από μια επιλογή που ονομάζεται "Σύνθετη κοινή χρήση". Εάν κάνετε δεξί κλικ σε ένα φάκελο και μεταβείτε στις ιδιότητές του, μπορείτε να βρείτε αυτές τις ρυθμίσεις "Σύνθετης κοινής χρήσης" στην καρτέλα κοινής χρήσης.

Αν κάνετε κλικ στο κουμπί "Σύνθετη κοινή χρήση", το οποίο απαιτεί διαπιστευτήρια τοπικού διαχειριστή, μπορείτε να ρυθμίσετε όλες τις ρυθμίσεις που εξοικειώσατε σε προηγούμενες εκδόσεις των Windows.

Αν κάνετε κλικ στο κουμπί "Άδειες" θα εμφανιστούν οι 3 ρυθμίσεις που όλοι γνωρίζουμε.

1. Ανάγνωση Η άδεια επιτρέπει την προβολή και το άνοιγμα αρχείων και υποκαταλόγων καθώς και την εκτέλεση εφαρμογών. Ωστόσο, δεν επιτρέπει αλλαγές.
2. Τροποποιώ η άδεια σας επιτρέπει να κάνετε κάτι τέτοιο Ανάγνωση η άδεια επιτρέπει, προσθέτει επίσης τη δυνατότητα να προσθέσετε αρχεία και υποκαταλόγους, να διαγράψετε υποφακέλους και να αλλάξετε δεδομένα στα αρχεία.
3. Πλήρης έλεγχος είναι το "κάνουμε τίποτα" από τα κλασικά δικαιώματα, καθώς σας επιτρέπει να κάνετε οποιαδήποτε και όλα τα προηγούμενα δικαιώματα. Επιπλέον, σας δίνει την προηγμένη άδεια NTFS, η οποία ισχύει μόνο για τους φακέλους NTFS

Δικαιώματα NTFS

Η άδεια NTFS επιτρέπει πολύ λεπτομερή έλεγχο των αρχείων και των φακέλων σας. Με αυτό είπε ότι η ποσότητα του κοκκινισμού μπορεί να είναι αποθαρρυντική για έναν νεοφερμένο. Μπορείτε επίσης να ορίσετε την άδεια NTFS ανά βάση αρχείου καθώς και βάση ανά φάκελο. Για να ορίσετε την άδεια NTFS σε ένα αρχείο, πρέπει να κάνετε δεξί κλικ και να μεταβείτε στις ιδιότητες των αρχείων όπου θα χρειαστεί να μεταβείτε στην καρτέλα ασφαλείας.

Για να επεξεργαστείτε τα δικαιώματα του NTFS για έναν χρήστη ή μια ομάδα, κάντε κλικ στο κουμπί επεξεργασίας.

Όπως μπορείτε να δείτε υπάρχουν αρκετά δικαιώματα NTFS, ώστε να τους αφήσουμε να τα σπάσουν. Πρώτα θα εξετάσουμε τα δικαιώματα του NTFS που μπορείτε να ορίσετε σε ένα αρχείο.

1. Πλήρης έλεγχος σας επιτρέπει να διαβάζετε, να γράφετε, να τροποποιείτε, να εκτελείτε, να αλλάζετε ιδιότητες, δικαιώματα και να αναλαμβάνετε την κατοχή του αρχείου.
2. Τροποποιώ σας επιτρέπει να διαβάζετε, να γράφετε, να τροποποιείτε, να εκτελείτε και να αλλάζετε τα χαρακτηριστικά του αρχείου.
3. Διαβάστε & Εκτέλεση θα σας επιτρέψει να εμφανίσετε τα δεδομένα του αρχείου, τα χαρακτηριστικά, τον κάτοχο και τα δικαιώματα και να εκτελέσετε το αρχείο εάν είναι ένα πρόγραμμα.
4. Ανάγνωση θα σας επιτρέψει να ανοίξετε το αρχείο, να προβάλετε τα χαρακτηριστικά του, τον κάτοχο και τα δικαιώματα του.
5. Γράφω θα σας επιτρέψει να γράψετε δεδομένα στο αρχείο, να προσαρτήσετε στο αρχείο και να διαβάσετε ή να αλλάξετε τα χαρακτηριστικά του.

Οι άδειες NTFS για τους φακέλους έχουν ελαφρώς διαφορετικές επιλογές, γι 'αυτό μπορείτε να τις ρίξετε μια ματιά.

1. Πλήρης έλεγχος σας επιτρέπει να διαβάζετε, να γράφετε, να τροποποιείτε και να εκτελείτε αρχεία στο φάκελο, να αλλάζετε ιδιότητες, δικαιώματα και να αναλαμβάνετε την κατοχή του φακέλου ή των αρχείων μέσα.
2. Τροποποιώ σας επιτρέπει να διαβάζετε, να γράφετε, να τροποποιείτε και να εκτελείτε αρχεία στο φάκελο και να αλλάζετε χαρακτηριστικά του φακέλου ή των αρχείων μέσα.
3. Διαβάστε & Εκτέλεση θα σας επιτρέψει να εμφανίσετε τα περιεχόμενα του φακέλου και να εμφανίσετε τα δεδομένα, τα χαρακτηριστικά, τον κάτοχο και τα δικαιώματα για αρχεία μέσα στο φάκελο και να εκτελέσετε αρχεία μέσα στον φάκελο.
4. Λίστα περιεχομένων φακέλου θα σας επιτρέψει να εμφανίσετε τα περιεχόμενα του φακέλου και να εμφανίσετε τα δεδομένα, τα χαρακτηριστικά, τον κάτοχο και τα δικαιώματα για αρχεία μέσα στο φάκελο.
5. Ανάγνωση θα σας επιτρέψει να εμφανίσετε τα δεδομένα του αρχείου, τα χαρακτηριστικά, τον κάτοχο και τα δικαιώματα.
6. Γράφω θα σας επιτρέψει να γράψετε δεδομένα στο αρχείο, να προσαρτήσετε στο αρχείο και να διαβάσετε ή να αλλάξετε τα χαρακτηριστικά του.

Η τεκμηρίωση της Microsoft δηλώνει επίσης ότι το "Περιεχόμενα φακέλου λίστας" θα σας επιτρέψει να εκτελέσετε αρχεία μέσα στο φάκελο, αλλά θα χρειαστεί να ενεργοποιήσετε το "Read & Execute" για να το κάνετε αυτό. Είναι μια πολύ συγκεχυμένη τεκμηριωμένη άδεια.

Περίληψη

Συνοπτικά, τα ονόματα και οι ομάδες χρηστών είναι παραστάσεις αλφαριθμητικής συμβολοσειράς που ονομάζεται SID (Αναγνωριστικό ασφαλείας), τα δικαιώματα Share και NTFS συνδέονται με αυτά τα SID. Τα δικαιώματα κοινής χρήσης ελέγχονται από το LSSAS μόνο όταν έχουν πρόσβαση στο δίκτυο, ενώ τα δικαιώματα NTFS ισχύουν μόνο στις τοπικές μηχανές. Ελπίζω ότι όλοι έχετε μια καλή κατανόηση του τρόπου με τον οποίο η ασφάλεια των αρχείων και των φακέλων στα Windows 7 υλοποιείται. Αν έχετε οποιεσδήποτε ερωτήσεις, μπορείτε να ακούσετε τα σχόλια.