Har du någonsin försökt att lista ut alla behörigheter i Windows? Det finns delbehörigheter, NTFS-behörigheter, åtkomstkontrolllistor och mer. Så här fungerar de tillsammans.
I Windows operativsystem används SID för att representera alla säkerhetsprinciper. SID: er är bara strängar med variabel längd med alfanumeriska tecken som representerar maskiner, användare och grupper. SID läggs till ACL (Access Control Lists) varje gång du beviljar en användare eller gruppbehörighet till en fil eller mapp. Bakom scenen lagras SID-filer på samma sätt som alla andra dataobjekt, i binära. Men när du ser ett SID i Windows visas det med en mer läsbar syntax. Det är inte ofta att du ser någon form av SID i Windows, det vanligaste scenariot är när du beviljar någon behörighet till en resurs, då tas deras användarkonto bort, så visas det som ett SID i ACL. Så här kan vi titta på det typiska formatet där du ser SID i Windows.
Den notation som du ser kommer att ha en viss syntax, nedan är de olika delarna av ett SID i denna notation.
Med mitt SID i bilden nedan kommer vi att bryta upp de olika sektionerna för att få en bättre förståelse.
SID-strukturen:
'S' - Den första komponenten i ett SID är alltid en 'S'. Detta är prefixed till alla SID och är där för att informera Windows om att det som följer är ett SID.
'1' - Den andra komponenten i ett SID är revisionsnumret för SID-specifikationen om SID-specifikationen var ändra det skulle ge bakåtkompatibilitet. I Windows 7 och Server 2008 R2 finns SID-specifikationen fortfarande i den första versionen.
'5' - Den tredje delen av ett SID kallas Identifier Authority. Detta definierar i vilken omfattning SID genererades. Möjliga värden för dessa delar av SID kan vara:
- 0 - Null Authority
- 1 - Världsmyndigheten
- 2 - Lokal myndighet
- 3 - Skapande myndighet
- 4 - Obehörig myndighet
- 5 - NT Authority
'21' - Den föregående komponenten är undermyndighet 1, värdet "21" används i det föregående fältet för att ange att de undermyndigheter som följer identifierar den lokala maskinen eller den Domän.
'1206375286-251249764-2214032401' - Dessa kallas undermyndighet 2,3 respektive 4. I vårt exempel används det för att identifiera den lokala maskinen, men den kan också vara identifieraren för en domän.
'1000' - Delmyndighet 5 är den sista komponenten i vårt SID och kallas RID Relativ Identifier), RID är i förhållande till varje säkerhetsprincip. Observera att alla användardefinierade objekt, de som inte skickas av Microsoft kommer att ha en RID på 1000 eller högre.
En säkerhetsprincip är Allt som har en SID kopplad till det, det kan vara användare, datorer och jämnt grupper. Säkerhetsprinciper kan vara lokala eller vara i domänkontexten. Du hanterar lokala säkerhetsprinciper genom snapin-programmet Local Users and Groups, under datorhantering. För att komma dit högerklicka på datorns genväg i startmenyn och välj hantera.
För att lägga till en ny användarsäkerhetsprincip kan du gå till användarmappen och högerklicka och välja ny användare.
Om du dubbelklickar på en användare kan du lägga till dem i en säkerhetsgrupp på fliken Medlem i.
För att skapa en ny säkerhetsgrupp, navigera till mappen Grupper på höger sida. Högerklicka på det vita utrymmet och välj ny grupp.
I Windows finns det två typer av fil- och mapptillstånd, för det första finns det delbehörigheter och för det andra finns det NTFS-behörigheter även kallade säkerhetsbehörigheter . Observera att när du delar en mapp som standard får "Alla" gruppen läsbehörigheten. Säkerhet på mappar görs vanligtvis med en kombination av Share och NTFS-tillstånd om det är så viktigt att komma ihåg att den mest restriktiva alltid gäller, till exempel om delbehörigheten är inställd på Alla = Läs (som är standard) men med NTFS-tillstånd tillåter användare att ändra på filen, kommer delbehörigheten att föredra och användarna får inte göra ändringar. När du anger behörigheterna kontrollerar LSASS (Local Security Authority) åtkomst till resursen. När du loggar in får du en åtkomsttoken med ditt SID på den, när du går åt till resursen jämför LSASS det SID som du lade till i ACL (Access Control List) och om SID är på ACL bestämmer du om du vill tillåta eller neka åtkomst. Oavsett vilka behörigheter du använder finns skillnader så vi kan ta en titt för att få en bättre förståelse för när vi ska använda vad.
Dela behörigheter:
NTFS-behörigheter:
Windows 7 köpte tillsammans med en ny "lätt" delteknik. Alternativen ändrades från Läs, Ändra och Full kontroll till. Läs och läs / skriv. Tanken var en del av hela gruppens mentalitet och gör det enkelt att dela en mapp för icke-datorlitterat folk. Detta görs via snabbmenyn och delar enkelt med din hemgrupp.
Om du vill dela med någon som inte är hemmahörande kan du alltid välja alternativet "Specifikt folk". Vilket skulle ge en mer "utarbetad" dialog.
Det finns bara två tillstånd som tidigare nämnts, tillsammans erbjuder de ett helt eller inget skyddsschema för dina mappar och filer.
- Läs Tillståndet är "look, Rör inte "alternativet. Mottagare kan öppna men inte ändra eller ta bort en fil.
- Läs / Skriv är alternativet "gör någonting". Mottagare kan öppna, ändra eller ta bort en fil.
Den gamla delningsdialogen hade fler alternativ och gav oss möjlighet att dela mappen under ett annat alias, det gjorde att vi kunde begränsa antalet samtidiga anslutningar samt konfigurera caching. Ingen av denna funktionalitet går förlorad i Windows 7 men är dolt under ett alternativ som heter "Advanced Sharing". Om du högerklickar på en mapp och går till dess egenskaper kan du hitta dessa "Avancerade delnings" -inställningar under fliken Dela.
Om du klickar på knappen Avancerad delning, som kräver lokala administratörsuppgifter, kan du konfigurera alla de inställningar som du kände till i tidigare versioner av Windows.
Om du klickar på behörighetsknappen kommer du att presenteras med de 3 inställningarna som vi alla är bekanta med.
- Läs tillåter dig att visa och öppna filer och underkataloger samt utföra program. Men det tillåter inte några ändringar.
- Ändra tillståndet tillåter dig att göra vad som helst som Läs tillåter tillstånd, det lägger också till möjligheten att lägga till filer och underkataloger, ta bort undermappar och Ändra data i filerna.
- Full kontroll är "gör någonting" av de klassiska behörigheterna, eftersom det tillåter dig att göra alla tidigare behörigheter. Dessutom ger den dig den avancerade ändringen av NTFS-tillståndet, detta gäller bara för NTFS-mappar
NTFS-tillstånd tillåter mycket granulär kontroll över dina filer och mappar. Med det sagt kan mängden granularitet vara skrämmande för en nykomling. Du kan också ställa in NTFS-behörighet per fil och per mappbasis. För att ställa in NTFS-behörighet på en fil bör du högerklicka och gå till filegenskaperna där du måste gå till fliken Säkerhet.
Om du vill redigera NTFS-behörigheterna för en användare eller grupp klickar du på redigeringsknappen.
Som du kan se finns det ganska många NTFS-tillstånd, så att vi kan bryta ner dem. Först kommer vi att titta på de NTFS-behörigheter som du kan ställa in på en fil.
- Full kontroll låter dig läsa, skriva, ändra, exekvera, ändra attribut, behörigheter och ta äganderätten till filen.
- Ändra låter dig läsa, skriva, ändra, exekvera och ändra filens attribut.
- Läs och kör tillåter dig att visa filens data, attribut, ägare och behörigheter och köra filen om det är ett program.
- Läs låter dig öppna filen, visa dess attribut, ägare och behörigheter.
- Skriv låter dig skriva data till filen, bifoga filen och läsa eller ändra dess attribut.
NTFS Tillstånd för mappar har lite olika alternativ så vi kan titta
- Med Full Control kan du läsa, skriva, ändra och exekvera filer i mappen, ändra attribut, behörigheter och ta äganderätt till mappen eller filerna inom.
- Ändra tillåter Du läser, skriver, ändrar och kör filer i mappen och ändrar attributen till mappen eller filerna inom.
- Läs och kör låter dig visa mappens innehåll och visa data, attribut, ägare , och behörigheter för filer i mappen och kör filer i mappen.
- Listmappinnehåll låter dig visa mappens conten ts och visa data, attribut, ägare och behörigheter för filer i mappen.
- Läs låter dig visa filens data, attribut, ägare och behörigheter.
- Skriv tillåter du skriver data till filen, lägger till filen och läser eller ändrar dess attribut.
I Microsofts dokumentation anges också att "Listamappsinnehåll" låter dig utföra filer i mappen, men det måste du fortfarande aktivera "Läs och exekvera" för att göra det. Det är ett mycket förvirrande dokumentat tillstånd.
Sammanfattningsvis är användarnamn och grupper representationer av en alfanumerisk sträng som heter SID (Security Identifier), Share och NTFS-behörigheter är bundna till dessa SID. Delbehörigheter kontrolleras endast av LSSAS när de öppnas över nätverket, medan NTFS-behörigheter endast gäller på de lokala maskinerna. Jag hoppas att du alla har en bra förståelse för hur fil och mappsäkerhet i Windows 7 implementeras. Om du har några frågor kan du ljuga av i kommentarerna.
Hur man hanterar flera användarkonton på en enda Chromebook
Chromebooks är billiga, måttligt kraftfulla och användarvänliga bärbara datorer som har blivit mycket populära hos konsumenter som vill ha en andra maskin som de kan ta på sig väg, men tycker inte om att släppa en massa extra pengar för privilegiet. Om du har en maskin som tillhör ett helt hushåll eller flera medarbetare på kontoret, så här kan du skapa och hantera flera användarkonton på samma enhet.
Hur fungerar T-Mobiles gratis musik- och videostreaming
Data är data ... utom när det inte är det. T-Mobile gör sakerna lite förvirrande genom att ge dig en viss mängd data, och erbjuder obegränsad musik och video-strömming som inte räknas mot ersättningen - men endast för vissa tjänster. De flesta T-Mobile-planerna innehåller dessa funktioner Använder du T-Mobile som mobilleverantör?