Geek School Learning Windows 7 - Resource Access
In deze installatie van Geek School bekijken we Folder Virtualization, SID's en Permission, evenals het Encrypting File System.
Bekijk de eerdere artikelen in deze Geek School-serie in Windows 7:
- Introductie van How-To Geek School
- Upgrades en migraties
- Apparaten configureren
- Schijven beheren
- Toepassingen beheren
- Internet Explorer beheren
- IP-adressering Grondbeginselen
- Netwerken
- Draadloze netwerken
- Windows Firewall
- Beheer op afstand
- Toegang op afstand
- Monitoring, prestaties en Windows up-to-date houden
En blijf op de hoogte voor de rest van de serie deze week.
Mapvirtualisatie
Windows 7 introduceerde de notie van bibliotheken waarmee u een gecentraliseerde locatie had waaruit u bronnen kon bekijken die zich elders op uw computer bevonden. Meer specifiek, met de functie Bibliotheken kunt u mappen vanaf elke locatie op uw computer toevoegen aan een van de vier standaardbibliotheken, Documenten, Muziek, Video's en Afbeeldingen, die eenvoudig toegankelijk zijn vanuit het navigatievenster van Windows Verkenner.
Er zijn twee belangrijke dingen om op te merken over de bibliotheekfunctie:
- Wanneer u een map toevoegt aan een bibliotheek, wordt de map zelf niet verplaatst, maar wordt een koppeling gemaakt naar de locatie van de map.
- Om een netwerkshare aan uw bibliotheken toe te voegen, moet deze offline beschikbaar zijn, maar u kunt ook een werk rond gebruiken met behulp van symbolische koppelingen.
Om een map aan een bibliotheek toe te voegen, gaat u gewoon naar de bibliotheek en klikt u op de koppeling naar locaties.
Klik vervolgens op de knop Toevoegen.
Zoek nu de map die u in de bibliotheek wilt opnemen en klik op de knop Map opnemen.
Dat is alles wat er is.
De beveiligingsidentificatie
Het Windows-besturingssysteem gebruikt SID's om alle beveiligingsprincipes weer te geven. SID's zijn gewoon variabele tekenreeksen van alfanumerieke tekens die machines, gebruikers en groepen vertegenwoordigen. SID's worden toegevoegd aan ACL's (Access Control Lists) elke keer dat u een gebruiker of groep toestemming geeft voor een bestand of map. Achter de schermen worden SID's op dezelfde manier opgeslagen als alle andere gegevensobjecten: in binair. Wanneer u echter een SID in Windows ziet, wordt deze weergegeven met een beter leesbare syntaxis. Het komt niet vaak voor dat u een vorm van SID ziet in Windows; het meest voorkomende scenario is wanneer u iemand toestemming geeft voor een resource en vervolgens zijn gebruikersaccount verwijdert. De SID verschijnt dan in de ACL. Laten we dus eens kijken naar het typische formaat waarin u SID's in Windows ziet.
De notatie die u ziet, heeft een bepaalde syntaxis. Hieronder staan de verschillende delen van een SID.
- Een voorvoegsel 'S'
- Structuur revisienummer
- Een 48-bits ID-machtigingswaarde
- Een variabel aantal 32-bit sub-authority of relative identifier (RID) -waarden
Met behulp van mijn SID in de afbeelding hieronder zullen we de verschillende secties opdelen om een beter begrip te krijgen.
De SID-structuur:
'S' - Het eerste onderdeel van een SID is altijd een 'S'. Dit is het voorvoegsel van alle SID's en dient om Windows te informeren dat wat volgt een SID is.
'1' - De tweede component van een SID is het revisienummer van de SID-specificatie. Als de SID-specificatie zou veranderen, zou dit compatibiliteit met eerdere versies bieden. Vanaf Windows 7 en Server 2008 R2 bevindt de SID-specificatie zich nog in de eerste revisie.
'5' - Het derde deel van een SID wordt de Identifier Authority genoemd. Dit definieert in welk bereik de SID werd gegenereerd. Mogelijke waarden voor dit gedeelte van de SID kunnen zijn:
- 0 - Null Authority
- 1 - Wereldautoriteit
- 2 - Lokale autoriteit
- 3 - Makerautoriteit
- 4 - Niet-unieke autoriteit
- 5 - NT Autoriteit
'21' - Het vierde onderdeel is subautoriteit 1. De waarde '21' wordt gebruikt in het vierde veld om aan te geven dat de subautoriteiten die volgen de lokale machine of het domein identificeren.
'1206375286-251249764-2214032401' - Deze worden respectievelijk sub-autoriteit 2,3 en 4 genoemd. In ons voorbeeld wordt dit gebruikt om de lokale machine te identificeren, maar het kan ook de identifier voor een domein zijn.
'1000' - Subautoriteit 5 is de laatste component in onze SID en wordt de RID (Relative Identifier) genoemd. De RID is relatief ten opzichte van elk beveiligingsprincipe: houd er rekening mee dat door de gebruiker gedefinieerde objecten, die niet door Microsoft worden verzonden, een RID van 1000 of hoger hebben.
Beveiligingsprincipes
Een beveiligingsprincipe is alles waaraan een SID is gekoppeld. Dit kunnen gebruikers, computers en zelfs groepen zijn. Beveiligingsprincipes kunnen lokaal zijn of in de domeincontext zijn. U beheert de lokale beveiligingsprincipes via de module Lokale gebruikers en groepen, onder computerbeheer. Om daar te komen, rechtsklik op de snelkoppeling van de computer in het startmenu en kies beheren.
Om een nieuw gebruikersbeveiligingsprincipe toe te voegen, gaat u naar de map Gebruikers en klikt u met de rechtermuisknop en kiest u Nieuwe gebruiker.
Als u dubbelklikt op een gebruiker, kunt u deze toevoegen aan een beveiligingsgroep op het tabblad Lid van.
Als u een nieuwe beveiligingsgroep wilt maken, gaat u naar de map Groepen aan de rechterkant. Klik met de rechtermuisknop op de witte ruimte en selecteer Nieuwe groep.
Machtigingen delen en NTFS-toestemming
In Windows zijn er twee soorten machtigingen voor bestanden en mappen. Ten eerste zijn er de Share-machtigingen. Ten tweede zijn er NTFS-machtigingen, die ook beveiligingsmachtigingen worden genoemd. Het beveiligen van gedeelde mappen gebeurt meestal met een combinatie van gedeelde en NTFS-machtigingen. Aangezien dit het geval is, is het essentieel om te onthouden dat de meest beperkende toestemming altijd van toepassing is. Als de share-machtiging bijvoorbeeld het leesbeveiligingsprincipe voor Iedereen beveiligingsprincipe geeft, maar de NTFS-machtiging gebruikers toestaat een wijziging in het bestand aan te brengen, heeft de share-machtiging voorrang en mogen de gebruikers geen wijzigingen aanbrengen. Wanneer u de machtigingen instelt, bepaalt de LSASS (Local Security Authority) de toegang tot de resource. Wanneer u zich aanmeldt, krijgt u een toegangstoken met uw SID erop. Wanneer u de resource opent, vergelijkt de LSASS de SID die u hebt toegevoegd aan de ACL (Access Control List). Als de SID zich in de ACL bevindt, bepaalt deze of toegang wordt toegestaan of geweigerd. Ongeacht welke machtigingen u gebruikt, er zijn verschillen, dus laten we een kijkje nemen om een beter begrip te krijgen van wanneer we zouden moeten gebruiken.
Machtigingen delen:
- Alleen van toepassing op gebruikers die toegang hebben tot de bron via het netwerk. Ze zijn niet van toepassing als u zich lokaal aanmeldt, bijvoorbeeld via terminaldiensten.
- Het is van toepassing op alle bestanden en mappen in de gedeelde bron. Als u een gedetailleerder beperkingsschema wilt bieden, moet u NTFS-toestemming gebruiken naast gedeelde machtigingen
- Als u FAT- of FAT32-geformatteerde volumes hebt, is dit de enige vorm van beperking die voor u beschikbaar is, omdat NTFS-machtigingen niet beschikbaar zijn voor die bestandssystemen.
NTFS-machtigingen:
- De enige beperking op NTFS-machtigingen is dat ze alleen kunnen worden ingesteld op een volume dat is geformatteerd naar het NTFS-bestandssysteem
- Vergeet niet dat NTFS-machtigingen cumulatief zijn. Dit betekent dat de effectieve machtigingen van een gebruiker het resultaat zijn van het combineren van de toegewezen machtigingen van de gebruiker en de rechten van alle groepen waartoe de gebruiker behoort.
De nieuwe share-machtigingen
Windows 7 kocht een nieuwe "gemakkelijke" deeltechniek. De opties veranderden van Lezen, Wijzigen en Volledig beheer naar Lezen en Lezen / Schrijven. Het idee was onderdeel van de hele thuisgemeenschap-mentaliteit en maakt het gemakkelijk om een map te delen voor niet-computer geletterden. Dit gebeurt via het contextmenu en deelt eenvoudig met uw thuisgroep.
Als je wilt delen met iemand die niet in de thuisgroep is, kun je altijd de optie "Specifieke mensen ..." kiezen. Dit zou een meer "uitgebreid" dialoogvenster opleveren waarin u een gebruiker of groep zou kunnen specificeren.
Er zijn slechts twee rechten, zoals eerder vermeld. Samen bieden ze een alles of niets beveiligingsschema voor uw mappen en bestanden.
- Lezen toestemming is de optie "kijk, raak niet aan". Ontvangers kunnen een bestand openen, maar niet wijzigen of verwijderen.
- Lezen schrijven is de optie "alles doen". Ontvangers kunnen een bestand openen, wijzigen of verwijderen.
De toestemming van de oude school
Het oude deelvenster had meer opties, zoals de optie om de map onder een andere alias te delen. Hierdoor konden we het aantal gelijktijdige verbindingen beperken en caching configureren. Geen van deze functies gaat verloren in Windows 7, maar is eerder verborgen onder de optie 'Geavanceerd delen'. Als u met de rechtermuisknop op een map klikt en naar de eigenschappen gaat, vindt u deze instellingen voor "Geavanceerd delen" op het tabblad Delen.
Als u op de knop "Geavanceerd delen" klikt, waarvoor lokale beheerdersreferenties nodig zijn, kunt u alle instellingen configureren die u in eerdere versies van Windows kende..
Als u op de machtigingsknop klikt, krijgt u de 3 instellingen te zien die we allemaal kennen.
- Lezen Met toestemming kunt u bestanden en submappen bekijken en openen en toepassingen uitvoeren. Het laat echter geen wijzigingen toe.
- Wijzigen toestemming geeft je de mogelijkheid om dat te doen Lezen toestemming staat toe, en het voegt ook de mogelijkheid toe om bestanden en submappen toe te voegen, submappen te verwijderen en gegevens in de bestanden te wijzigen.
- Volledige controle is het "alles doen" van de klassieke rechten, omdat het u toestaat om alle voorgaande permissies te doen. Bovendien geeft het u de geavanceerde veranderende NTFS-toestemming, maar dit is alleen van toepassing op NTFS-mappen
NTFS-machtigingen
NTFS-machtigingen maken zeer gedetailleerde controle over uw bestanden en mappen mogelijk. Met dat gezegd, kan de hoeveelheid korreligheid een nieuwkomer ontmoedigen. U kunt ook NTFS-rechten per bestand en per map instellen. Als u NTFS-machtiging voor een bestand wilt instellen, klikt u met de rechtermuisknop en gaat u naar de eigenschappen van het bestand en gaat u naar het tabblad Beveiliging.
Om de NTFS-machtigingen voor een gebruiker of groep te bewerken, klikt u op de knop Bewerken.
Zoals je misschien ziet, zijn er nogal wat NTFS-machtigingen, dus laten we ze opsplitsen. Eerst zullen we de NTFS-machtigingen bekijken die u in een bestand kunt instellen.
- Volledige controle stelt u in staat om te lezen, te schrijven, te wijzigen, uit te voeren, attributen te wijzigen, rechten toe te kennen en het bestand in eigendom te nemen.
- Wijzigen kunt u de attributen van het bestand lezen, schrijven, wijzigen, uitvoeren en wijzigen.
- Lezen en uitvoeren kunt u de gegevens, kenmerken, eigenaar en machtigingen van het bestand weergeven en het bestand uitvoeren als het een programma is.
- Lezen zal je toestaan om het bestand te openen, de attributen, eigenaar en permissies ervan te bekijken.
- Schrijven kunt u gegevens naar het bestand schrijven, toevoegen aan het bestand en de kenmerken ervan lezen of wijzigen.
NTFS-machtigingen voor mappen hebben iets verschillende opties, dus laten we ze eens bekijken.
- Volledige controle kunt u bestanden in de map lezen, schrijven, wijzigen en uitvoeren, kenmerken wijzigen, rechten verlenen en eigenaar worden van de map of bestanden binnen.
- Wijzigen kunt u bestanden in de map lezen, schrijven, wijzigen en uitvoeren en de kenmerken van de map of bestanden in die map wijzigen.
- Lezen en uitvoeren kunt u de inhoud van de map weergeven en de gegevens, kenmerken, eigenaar en machtigingen voor bestanden in de map weergeven en bestanden in de map uitvoeren.
- Lijst mapinhoud kunt u de inhoud van de map weergeven en de gegevens, kenmerken, eigenaar en machtigingen voor bestanden in de map weergeven en bestanden in de map uitvoeren
- Lezen kunt u de gegevens, kenmerken, eigenaar en machtigingen van het bestand weergeven.
- Schrijven kunt u gegevens naar het bestand schrijven, toevoegen aan het bestand en de kenmerken ervan lezen of wijzigen.
Samenvatting
Samenvattend zijn gebruikersnamen en groepen representaties van een alfanumerieke reeks genaamd een SID (Security Identifier). Delen en NTFS-machtigingen zijn gekoppeld aan deze SID's. Machtigingen voor delen worden alleen gecontroleerd door LSSAS wanneer ze via het netwerk worden benaderd, terwijl NTFS-machtigingen worden gecombineerd met gedeelde machtigingen om een meer gedetailleerd beveiligingsniveau mogelijk te maken voor bronnen die via het netwerk en lokaal toegankelijk zijn..
Toegang tot een gedeelde bron
Dus nu we hebben geleerd over de twee methoden die we kunnen gebruiken om inhoud op onze pc's te delen, hoe gaan we er eigenlijk over om toegang te krijgen tot het via het netwerk? Het is erg makkelijk. Typ gewoon het volgende in de navigatiebalk.
\\ computernaam \ sharenaam
Opmerking: Uiteraard moet u computernaam vervangen door de naam van de pc die de share host en sharenaam voor de naam van de share.
Dit is geweldig voor eenmalige verbindingen, maar hoe zit het in een grotere bedrijfsomgeving? U moet uw gebruikers toch niet leren hoe ze verbinding moeten maken met een netwerkbron met behulp van deze methode. Om dit te omzeilen, wil je een netwerkstation toewijzen voor elke gebruiker, op deze manier kun je hen adviseren hun documenten op de "H" -schijf op te slaan in plaats van te proberen uit te leggen hoe je verbinding maakt met een share. Om een schijf in kaart te brengen, opent u Computer en klikt u op de knop "Map netwerkstation".
Typ vervolgens gewoon het UNC-pad van de share.
Je vraagt je waarschijnlijk af of je dat op elke pc moet doen, en gelukkig is het antwoord nee. U kunt eerder een batch-script schrijven om de schijven voor uw gebruikers automatisch aan te melden bij aanmelding en dit via Groepsbeleid te implementeren.
Als we het commando ontleden:
- We gebruiken de netto gebruik opdracht om de schijf in kaart te brengen.
- Wij gebruiken de * om aan te geven dat we de volgende beschikbare stationsletter willen gebruiken.
- Eindelijk we geef de share op we willen de rit toewijzen aan. Merk op dat we citaten hebben gebruikt omdat het UNC-pad spaties bevat.
Versleutelen van bestanden met behulp van het coderingsbestandssysteem
Windows biedt de mogelijkheid om bestanden te coderen op een NTFS-volume. Dit betekent dat alleen jij de bestanden kunt decoderen en bekijken. Om een bestand te versleutelen, klikt u er eenvoudig op en selecteert u eigenschappen in het contextmenu.
Klik vervolgens op geavanceerd.
Vink het selectievakje Inhoud coderen om gegevens te beveiligen aan en klik vervolgens op OK.
Ga nu door en pas de instellingen toe.
We hoeven alleen het bestand te versleutelen, maar je hebt ook de mogelijkheid om de bovenliggende map te versleutelen.
Houd er rekening mee dat zodra het bestand is gecodeerd, het groen wordt.
U zult nu merken dat alleen u het bestand kunt openen en dat andere gebruikers op dezelfde pc dit niet zullen kunnen. Het coderingsproces maakt gebruik van codering met openbare sleutels, dus houd uw coderingssleutels veilig. Als je ze verliest, is je bestand verdwenen en kun je het niet meer herstellen.
Huiswerk
- Meer informatie over toestemmingovername en effectieve machtigingen.
- Lees dit Microsoft-document.
- Lees waarom je BranchCache zou willen gebruiken.
- Leer hoe u printers deelt en waarom u dat zou willen.