Geek School Learning Windows 7 - Ressourcenzugriff
In dieser Installation von Geek School betrachten wir Folder Virtualization, SIDs und Permission sowie das Encrypting File System.
Schauen Sie sich die vorherigen Artikel in dieser Geek School-Serie unter Windows 7 an:
- Einführung in die How-To-Geek School
- Upgrades und Migrationen
- Geräte konfigurieren
- Festplatten verwalten
- Anwendungen verwalten
- Internet Explorer verwalten
- Grundlagen der IP-Adressierung
- Vernetzung
- Drahtlose Vernetzung
- Windows-Firewall
- Remote-Verwaltung
- Fernzugriff
- Überwachung, Leistung und Aktualisierung von Windows
Und bleiben Sie die ganze Woche über auf dem Laufenden.
Ordner-Virtualisierung
In Windows 7 wurde der Begriff Bibliotheken eingeführt, der es Ihnen ermöglichte, einen zentralen Ort zu haben, von dem aus Sie Ressourcen anzeigen können, die sich an anderer Stelle auf Ihrem Computer befinden. Mit der Bibliotheksfunktion haben Sie die Möglichkeit, Ordner von einer beliebigen Stelle auf Ihrem Computer zu einer der vier Standardbibliotheken Dokumente, Musik, Videos und Bilder hinzuzufügen, die über den Navigationsbereich von Windows Explorer leicht zugänglich sind.
Es gibt zwei wichtige Dinge, die Sie bezüglich der Bibliotheksfunktion beachten sollten:
- Wenn Sie einen Ordner zu einer Bibliothek hinzufügen, wird der Ordner selbst nicht verschoben. Stattdessen wird ein Link zum Speicherort des Ordners erstellt.
- Um eine Netzwerkfreigabe zu Ihren Bibliotheken hinzuzufügen, muss diese offline verfügbar sein. Sie können jedoch auch eine Problemumgehung mithilfe symbolischer Links verwenden.
Um einen Ordner zu einer Bibliothek hinzuzufügen, gehen Sie einfach in die Bibliothek und klicken Sie auf den Link zu den Standorten.
Klicken Sie dann auf die Schaltfläche Hinzufügen.
Suchen Sie nun den Ordner, den Sie in die Bibliothek aufnehmen möchten, und klicken Sie auf die Schaltfläche Ordner einschließen.
Das ist alles dazu.
Die Sicherheitsidentifikation
Das Windows-Betriebssystem verwendet SIDs, um alle Sicherheitsprinzipien darzustellen. SIDs sind lediglich Zeichenfolgen mit variabler Länge aus alphanumerischen Zeichen, die Maschinen, Benutzer und Gruppen darstellen. SIDs werden zu ACLs (Access Control Lists) hinzugefügt, wenn Sie einem Benutzer oder einer Gruppe die Berechtigung für eine Datei oder einen Ordner erteilen. Hinter den Kulissen werden SIDs auf dieselbe Weise gespeichert wie alle anderen Datenobjekte: Binär. Wenn Sie jedoch unter Windows eine SID sehen, wird diese mit einer besser lesbaren Syntax angezeigt. Es ist nicht oft, dass Sie unter Windows irgendeine Form von SID sehen. Das häufigste Szenario ist, wenn Sie jemandem die Berechtigung für eine Ressource erteilen und dann das Benutzerkonto löschen. Die SID wird dann in der ACL angezeigt. Schauen wir uns also das typische Format an, in dem Sie SIDs in Windows sehen.
Die Notation, die Sie sehen, erfordert eine bestimmte Syntax. Nachfolgend sind die verschiedenen Teile einer SID aufgeführt.
- Ein 'S' Präfix
- Nummer der Strukturversion
- Ein 48-Bit-Identifizierungsberechtigungswert
- Eine variable Anzahl von 32-Bit-Werten für Sub-Authority oder relative ID (RID)
Mit meiner SID in der Abbildung unten werden wir die verschiedenen Abschnitte aufteilen, um ein besseres Verständnis zu erhalten.
Die SID-Struktur:
'S' - Die erste Komponente einer SID ist immer ein 'S'. Dies ist allen SIDs vorangestellt und soll Windows darüber informieren, dass es sich bei dem folgenden um eine SID handelt.
'1' - Die zweite Komponente einer SID ist die Revisionsnummer der SID-Spezifikation. Wenn sich die SID-Spezifikation ändern sollte, würde dies Abwärtskompatibilität gewährleisten. Seit Windows 7 und Server 2008 R2 befindet sich die SID-Spezifikation noch in der ersten Version.
'5' - Der dritte Abschnitt einer SID wird Identifier Authority genannt. Dadurch wird festgelegt, in welchem Bereich die SID generiert wurde. Mögliche Werte für diese Abschnitte der SID können sein:
- 0 - Nullberechtigung
- 1 - Weltbehörde
- 2 - Gemeindeverwaltung
- 3 - Schöpferbehörde
- 4 - Nicht eindeutige Behörde
- 5 - NT-Behörde
'21' - Die vierte Komponente ist Subautorität 1. Der Wert '21' wird im vierten Feld verwendet, um anzugeben, dass die Subautorität, die folgt, den lokalen Computer oder die Domäne identifiziert.
'1206375286-251249764-2214032401' - Diese werden als Unterbehörde 2,3 bzw. 4 bezeichnet. In unserem Beispiel wird dies zur Identifizierung des lokalen Computers verwendet, er kann jedoch auch die Kennung für eine Domäne sein.
'1000' - Sub-Authority 5 ist die letzte Komponente in unserer SID und wird als RID (Relative Identifier) bezeichnet. Die RID ist relativ zu jedem Sicherheitsprinzip: Beachten Sie, dass alle benutzerdefinierten Objekte, die nicht von Microsoft ausgeliefert werden, eine RID von 1000 oder höher haben.
Sicherheitsgrundsätze
Ein Sicherheitsprinzip ist alles, an das eine SID gebunden ist. Dies können Benutzer, Computer und sogar Gruppen sein. Sicherheitsprinzipien können lokal sein oder sich im Domänenkontext befinden. Sie verwalten lokale Sicherheitsprinzipien über das Snap-In Lokale Benutzer und Gruppen unter Computerverwaltung. Um dorthin zu gelangen, klicken Sie mit der rechten Maustaste auf die Computerverknüpfung im Startmenü und wählen Sie Verwalten.
Um ein neues Benutzersicherheitsprinzip hinzuzufügen, können Sie in den Ordner Benutzer wechseln, mit der rechten Maustaste klicken und Neuer Benutzer auswählen.
Wenn Sie auf einen Benutzer doppelklicken, können Sie ihn auf der Registerkarte Mitglied von zu einer Sicherheitsgruppe hinzufügen.
Um eine neue Sicherheitsgruppe zu erstellen, navigieren Sie zum Ordner Gruppen auf der rechten Seite. Klicken Sie mit der rechten Maustaste auf das weiße Feld und wählen Sie Neue Gruppe.
Freigabeberechtigungen und NTFS-Berechtigungen
In Windows gibt es zwei Arten von Datei- und Ordnerberechtigungen. Erstens gibt es die Freigabeberechtigungen. Zweitens gibt es NTFS-Berechtigungen, die auch Sicherheitsberechtigungen genannt werden. Das Sichern von freigegebenen Ordnern erfolgt normalerweise mit einer Kombination aus Freigabe- und NTFS-Berechtigungen. Da dies der Fall ist, muss unbedingt beachtet werden, dass immer die restriktivste Erlaubnis gilt. Wenn beispielsweise die Freigabeberechtigung dem Sicherheitsprinzip "Jeder" Leseberechtigung verleiht, die NTFS-Berechtigung jedoch Benutzern die Änderung der Datei ermöglicht, hat die Freigabeberechtigung Vorrang und die Benutzer dürfen keine Änderungen vornehmen. Wenn Sie die Berechtigungen festlegen, kontrolliert die LSASS (Local Security Authority) den Zugriff auf die Ressource. Wenn Sie sich anmelden, erhalten Sie ein Zugriffstoken mit Ihrer SID. Wenn Sie auf die Ressource zugreifen, vergleicht das LSASS die SID, die Sie der ACL (Zugriffssteuerungsliste) hinzugefügt haben. Wenn sich die SID in der ACL befindet, bestimmt sie, ob der Zugriff zugelassen oder verweigert werden soll. Unabhängig von den Berechtigungen, die Sie verwenden, gibt es Unterschiede. Lassen Sie uns einen Blick darauf werfen, wann wir welche verwenden sollten.
Freigabeberechtigungen:
- Gilt nur für Benutzer, die über das Netzwerk auf die Ressource zugreifen. Sie gelten nicht, wenn Sie sich lokal anmelden, z. B. über Terminaldienste.
- Es gilt für alle Dateien und Ordner in der freigegebenen Ressource. Wenn Sie ein differenzierteres Einschränkungsschema angeben möchten, sollten Sie zusätzlich zu den gemeinsam genutzten Berechtigungen die NTFS-Berechtigung verwenden
- Wenn Sie über FAT- oder FAT32-formatierte Volumes verfügen, ist dies die einzige für Sie verfügbare Einschränkung, da NTFS-Berechtigungen auf diesen Dateisystemen nicht verfügbar sind.
NTFS-Berechtigungen:
- Die einzige Einschränkung für NTFS-Berechtigungen besteht darin, dass sie nur für ein Volume festgelegt werden können, das mit dem NTFS-Dateisystem formatiert ist
- Denken Sie daran, dass NTFS-Berechtigungen kumulativ sind. Dies bedeutet, dass die effektiven Berechtigungen eines Benutzers das Ergebnis der Kombination der zugewiesenen Berechtigungen des Benutzers und der Berechtigungen aller Gruppen sind, denen der Benutzer angehört.
Die neuen Freigabeberechtigungen
Windows 7 kaufte eine neue "einfache" Share-Technik. Die Optionen wurden von Lesen, Ändern und Vollzugriff in Lesen und Lesen / Schreiben geändert. Die Idee war Teil der gesamten Homegroup-Mentalität und macht es leicht, einen Ordner für Nicht-Computerkenntnisse freizugeben. Dies erfolgt über das Kontextmenü und kann problemlos mit Ihrer Heimnetzgruppe geteilt werden.
Wenn Sie mit jemandem teilen möchten, der sich nicht in der Stammgruppe befindet, können Sie immer die Option "Bestimmte Personen ..." wählen. In diesem Dialog erscheint ein ausführlicherer Dialog, in dem Sie einen Benutzer oder eine Gruppe angeben können.
Wie bereits erwähnt, gibt es nur zwei Berechtigungen. Zusammen bieten sie ein Schutzsystem für Ihre Ordner und Dateien.
- Lesen Erlaubnis ist die Option "Look, Don't Touch". Empfänger können eine Datei öffnen, jedoch nicht ändern oder löschen.
- Lesen Schreiben ist die Option "Alles tun". Empfänger können eine Datei öffnen, ändern oder löschen.
Die alte Schulerlaubnis
Der alte Freigabedialog hatte mehr Optionen, z. B. die Option, den Ordner unter einem anderen Aliasnamen freizugeben. Dadurch konnten wir die Anzahl der gleichzeitigen Verbindungen begrenzen und das Caching konfigurieren. Unter Windows 7 geht keine dieser Funktionen verloren, sondern wird unter einer Option namens "Erweiterte Freigabe" ausgeblendet. Wenn Sie mit der rechten Maustaste auf einen Ordner klicken und dessen Eigenschaften aufrufen, finden Sie diese Einstellungen für die erweiterte Freigabe auf der Registerkarte Freigabe.
Wenn Sie auf die Schaltfläche "Erweiterte Freigabe" klicken, für die lokale Administratoranmeldeinformationen erforderlich sind, können Sie alle Einstellungen konfigurieren, mit denen Sie in früheren Windows-Versionen vertraut waren.
Wenn Sie auf die Schaltfläche "Berechtigungen" klicken, werden die 3 Einstellungen angezeigt, mit denen wir alle vertraut sind.
- Lesen Mit der Berechtigung können Sie Dateien und Unterverzeichnisse anzeigen und öffnen sowie Anwendungen ausführen. Es können jedoch keine Änderungen vorgenommen werden.
- Ändern Die Erlaubnis erlaubt es Ihnen, alles zu tun Lesen Berechtigung erlaubt, und es gibt auch die Möglichkeit, Dateien und Unterverzeichnisse hinzuzufügen, Unterordner zu löschen und Daten in den Dateien zu ändern.
- Volle Kontrolle ist das "Alles tun" der klassischen Berechtigungen, da Sie alle vorherigen Berechtigungen ausführen können. Darüber hinaus erhalten Sie die erweiterte Änderung der NTFS-Berechtigung. Dies gilt jedoch nur für NTFS-Ordner
NTFS-Berechtigungen
NTFS-Berechtigungen ermöglichen eine sehr genaue Kontrolle Ihrer Dateien und Ordner. Mit dieser Aussage kann die Granularität für einen Neuankömmling entmutigend sein. Sie können die NTFS-Berechtigung auch pro Datei und pro Ordner festlegen. Um die NTFS-Berechtigung für eine Datei festzulegen, klicken Sie mit der rechten Maustaste, gehen Sie zu den Eigenschaften der Datei und dann zur Registerkarte Sicherheit.
Um die NTFS-Berechtigungen für einen Benutzer oder eine Gruppe zu bearbeiten, klicken Sie auf die Schaltfläche Bearbeiten.
Wie Sie vielleicht sehen, gibt es eine Menge NTFS-Berechtigungen, also brechen wir sie auf. Zunächst werden die NTFS-Berechtigungen beschrieben, die Sie für eine Datei festlegen können.
- Volle Kontrolle Ermöglicht das Lesen, Schreiben, Ändern, Ausführen, Ändern von Attributen, Berechtigungen und den Besitz der Datei.
- Ändern ermöglicht das Lesen, Schreiben, Ändern, Ausführen und Ändern der Dateiattribute.
- Lesen und ausführen ermöglicht Ihnen, die Daten, Attribute, Eigentümer und Berechtigungen der Datei anzuzeigen und die Datei auszuführen, wenn es sich um ein Programm handelt.
- Lesen können Sie die Datei öffnen, ihre Attribute, Eigentümer und Berechtigungen anzeigen.
- Schreiben können Sie Daten in die Datei schreiben, an die Datei anhängen und deren Attribute lesen oder ändern.
NTFS-Berechtigungen für Ordner weisen etwas unterschiedliche Optionen auf, sodass wir sie uns ansehen können.
- Volle Kontrolle ermöglicht Ihnen das Lesen, Schreiben, Ändern und Ausführen von Dateien im Ordner, das Ändern von Attributen, Berechtigungen und das Besitzrecht des Ordners oder der darin enthaltenen Dateien.
- Ändern ermöglicht das Lesen, Schreiben, Ändern und Ausführen von Dateien im Ordner sowie das Ändern der Attribute des Ordners oder der darin enthaltenen Dateien.
- Lesen und ausführen können Sie den Inhalt des Ordners und die Daten, Attribute, den Eigentümer und die Berechtigungen für Dateien innerhalb des Ordners anzeigen und Dateien innerhalb des Ordners ausführen.
- Ordnerinhalt auflisten können Sie den Inhalt des Ordners und die Daten, Attribute, den Eigentümer und die Berechtigungen für Dateien innerhalb des Ordners anzeigen und Dateien innerhalb des Ordners ausführen
- Lesen ermöglicht Ihnen die Anzeige der Daten, Attribute, Eigentümer und Berechtigungen der Datei.
- Schreiben können Sie Daten in die Datei schreiben, an die Datei anhängen und deren Attribute lesen oder ändern.
Zusammenfassung
Zusammenfassend sind Benutzernamen und Gruppen Repräsentationen einer alphanumerischen Zeichenfolge, die als SID (Security Identifier) bezeichnet wird. Freigabe- und NTFS-Berechtigungen sind an diese SIDs gebunden. Freigabeberechtigungen werden vom LSSAS nur geprüft, wenn auf sie über das Netzwerk zugegriffen wird, während NTFS-Berechtigungen mit Freigabeberechtigungen kombiniert werden, um eine detailliertere Sicherheitsstufe für Ressourcen zu ermöglichen, auf die über das Netzwerk oder lokal zugegriffen wird.
Zugriff auf eine gemeinsam genutzte Ressource
Nachdem wir nun die zwei Methoden kennengelernt haben, mit denen wir Inhalte auf unseren PCs gemeinsam nutzen können, wie gehen Sie eigentlich vor, um über das Netzwerk darauf zuzugreifen? Es ist sehr einfach. Geben Sie einfach Folgendes in die Navigationsleiste ein.
\\ Computername \ Freigabename
Hinweis: Natürlich müssen Sie den Namen des PCs, auf dem sich die Freigabe befindet, und den Freigabenamen durch Computername ersetzen.
Dies ist ideal für einmalige Verbindungen, aber wie sieht es in einer größeren Unternehmensumgebung aus? Sicherlich müssen Sie Ihren Benutzern nicht beibringen, wie Sie mit dieser Methode eine Verbindung zu einer Netzwerkressource herstellen. Um dies zu umgehen, sollten Sie jedem Benutzer ein Netzlaufwerk zuordnen. Auf diese Weise können Sie ihm empfehlen, die Dokumente auf dem „H“ -Laufwerk zu speichern, anstatt zu erklären, wie Sie eine Verbindung zu einer Freigabe herstellen. Um ein Laufwerk zuzuordnen, öffnen Sie Computer und klicken Sie auf die Schaltfläche "Netzlaufwerk zuordnen".
Geben Sie dann einfach den UNC-Pfad der Freigabe ein.
Sie fragen sich wahrscheinlich, ob Sie das auf jedem PC tun müssen, und zum Glück lautet die Antwort nein. Stattdessen können Sie ein Batch-Skript schreiben, um die Laufwerke für Ihre Benutzer bei der Anmeldung automatisch zuzuordnen und über Gruppenrichtlinien bereitzustellen.
Wenn wir den Befehl zerlegen:
- Wir benutzen die Nettonutzung Befehl zum Zuordnen des Laufwerks.
- Wir nehmen das * um anzuzeigen, dass wir den nächsten verfügbaren Laufwerksbuchstaben verwenden möchten.
- Endlich haben wir Geben Sie die Freigabe an wir wollen die Fahrt nach abbilden. Beachten Sie, dass wir Anführungszeichen verwendet haben, da der UNC-Pfad Leerzeichen enthält.
Verschlüsseln von Dateien mithilfe des verschlüsselnden Dateisystems
Windows bietet die Möglichkeit, Dateien auf einem NTFS-Volume zu verschlüsseln. Dies bedeutet, dass nur Sie die Dateien entschlüsseln und anzeigen können. Um eine Datei zu verschlüsseln, klicken Sie einfach mit der rechten Maustaste darauf und wählen Sie Eigenschaften aus dem Kontextmenü.
Klicken Sie dann auf Erweitert.
Aktivieren Sie nun das Kontrollkästchen Inhalte verschlüsseln, um Daten zu schützen, und klicken Sie dann auf OK.
Nun gehen Sie vor und übernehmen Sie die Einstellungen.
Wir müssen nur die Datei verschlüsseln, Sie können jedoch auch den übergeordneten Ordner verschlüsseln.
Beachten Sie, dass die Datei nach der Verschlüsselung grün wird.
Sie werden jetzt feststellen, dass nur Sie die Datei öffnen können und andere Benutzer auf demselben PC dies nicht tun können. Der Verschlüsselungsprozess verwendet die Verschlüsselung mit öffentlichen Schlüsseln. Bewahren Sie daher Ihre Verschlüsselungsschlüssel auf. Wenn Sie sie verlieren, ist Ihre Datei verschwunden und es gibt keine Möglichkeit, sie wiederherzustellen.
Hausaufgaben
- Erfahren Sie mehr über die Vererbung von Berechtigungen und die effektiven Berechtigungen.
- Lesen Sie dieses Microsoft-Dokument.
- Erfahren Sie, warum Sie BranchCache verwenden möchten.
- Erfahren Sie, wie Sie Drucker freigeben können und warum Sie dies möchten.