Làm thế nào để hiểu những quyền / chia sẻ tệp Windows 7 khó hiểu
Bạn đã bao giờ thử tìm hiểu tất cả các quyền trong Windows chưa? Có quyền chia sẻ, quyền NTFS, danh sách kiểm soát truy cập, v.v. Đây là cách tất cả họ làm việc cùng nhau.
Mã định danh bảo mật
Các hệ điều hành Windows sử dụng SID để thể hiện tất cả các nguyên tắc bảo mật. SID chỉ là các chuỗi ký tự chữ và số có độ dài thay đổi đại diện cho máy móc, người dùng và nhóm. SID được thêm vào ACL (Danh sách điều khiển truy cập) mỗi khi bạn cấp quyền cho người dùng hoặc nhóm cho tệp hoặc thư mục. Đằng sau cảnh SID được lưu trữ giống như tất cả các đối tượng dữ liệu khác, ở dạng nhị phân. Tuy nhiên, khi bạn thấy SID trong Windows, nó sẽ được hiển thị bằng cú pháp dễ đọc hơn. Thông thường bạn sẽ không thấy bất kỳ hình thức SID nào trong Windows, tình huống phổ biến nhất là khi bạn cấp quyền cho ai đó cho tài nguyên, sau đó tài khoản người dùng của họ sẽ bị xóa, sau đó nó sẽ hiển thị dưới dạng SID trong ACL. Vì vậy, hãy xem định dạng điển hình trong đó bạn sẽ thấy SID trong Windows.
Ký hiệu mà bạn sẽ thấy có một cú pháp nhất định, bên dưới là các phần khác nhau của SID trong ký hiệu này.
- Tiền tố 'S'
- Số sửa đổi cấu trúc
- Giá trị ủy quyền định danh 48 bit
- Một số biến của các giá trị thẩm quyền phụ 32 bit hoặc định danh tương đối (RID)
Sử dụng SID của tôi trong hình ảnh bên dưới, chúng tôi sẽ chia các phần khác nhau để hiểu rõ hơn.
Cấu trúc SID:
'S' - Thành phần đầu tiên của SID luôn là 'S'. Đây là tiền tố cho tất cả các SID và có mặt để thông báo cho Windows rằng những gì tiếp theo là SID.
'1' - Thành phần thứ hai của SID là số sửa đổi của đặc tả SID, nếu đặc tả SID thay đổi, nó sẽ cung cấp khả năng tương thích ngược. Kể từ Windows 7 và Server 2008 R2, thông số SID vẫn ở phiên bản đầu tiên.
'5' - Phần thứ ba của SID được gọi là Cơ quan định danh. Điều này xác định trong phạm vi SID được tạo ra. Các giá trị có thể có cho phần này của SID có thể là:
- 0 - Cơ quan không có thẩm quyền
- 1 - Cơ quan thẩm quyền thế giới
- 2 - Chính quyền địa phương
- 3 - Cơ quan sáng tạo
- 4 - Cơ quan không duy nhất
- 5 - Cơ quan NT
'21' - Thành phần thứ tư là cơ quan phụ 1, giá trị '21' được sử dụng trong trường thứ tư để chỉ định rằng các cơ quan phụ theo sau xác định Máy cục bộ hoặc Miền.
'1206375286-251249764-2214032401' - Chúng được gọi là cơ quan phụ 2,3 và 4 tương ứng. Trong ví dụ của chúng tôi, điều này được sử dụng để xác định máy cục bộ, nhưng cũng có thể là định danh cho Miền.
'1000' - Cơ quan phụ 5 là thành phần cuối cùng trong SID của chúng tôi và được gọi là RID (Mã định danh tương đối), RID liên quan đến từng nguyên tắc bảo mật, xin lưu ý rằng mọi đối tượng do người dùng xác định, những đối tượng không được Microsoft cung cấp sẽ có RID từ 1000 trở lên.
Nguyên tắc bảo mật
Nguyên tắc bảo mật là bất cứ thứ gì có SID kèm theo, đây có thể là người dùng, máy tính và thậm chí là các nhóm. Nguyên tắc bảo mật có thể là cục bộ hoặc trong bối cảnh miền. Bạn quản lý các nguyên tắc bảo mật cục bộ thông qua snap-in Local Users and Groups, dưới sự quản lý của máy tính. Để đến đó, nhấp chuột phải vào phím tắt máy tính trong menu bắt đầu và chọn quản lý.
Để thêm một nguyên tắc bảo mật người dùng mới, bạn có thể vào thư mục người dùng và nhấp chuột phải và chọn người dùng mới.
Nếu bạn nhấp đúp chuột vào người dùng, bạn có thể thêm họ vào Nhóm bảo mật trên tab Thành viên.
Để tạo một nhóm bảo mật mới, hãy điều hướng đến thư mục Nhóm ở phía bên tay phải. Nhấp chuột phải vào khoảng trắng và chọn nhóm mới.
Quyền chia sẻ và quyền NTFS
Trong Windows có hai loại quyền tệp và thư mục, thứ nhất là Quyền chia sẻ và thứ hai là Quyền NTFS cũng được gọi là Quyền bảo mật. Hãy lưu ý rằng khi bạn chia sẻ một thư mục theo mặc định, nhóm mọi người có thể được cấp quyền đọc. Bảo mật trên các thư mục thường được thực hiện với sự kết hợp của Chia sẻ và Quyền NTFS nếu đây là trường hợp cần thiết phải nhớ rằng hạn chế nhất luôn được áp dụng, ví dụ: nếu quyền chia sẻ được đặt thành Mọi người = Đọc (là mặc định), nhưng Quyền hạn NTFS cho phép người dùng thực hiện thay đổi tệp, Quyền chia sẻ sẽ được ưu tiên và người dùng sẽ không được phép thực hiện thay đổi. Khi bạn đặt quyền, LSASS (Cơ quan bảo mật cục bộ) sẽ kiểm soát quyền truy cập vào tài nguyên. Khi bạn đăng nhập, bạn được cấp mã thông báo truy cập với SID của mình trên đó, khi bạn truy cập vào tài nguyên, LSASS so sánh SID mà bạn đã thêm vào ACL (Danh sách điều khiển truy cập) và nếu SID có trên ACL thì nó sẽ xác định xem có cho phép hoặc từ chối truy cập. Cho dù bạn sử dụng quyền gì thì cũng có sự khác biệt, vì vậy hãy xem để hiểu rõ hơn khi nào chúng ta nên sử dụng những gì.
Quyền chia sẻ:
- Chỉ áp dụng cho người dùng truy cập tài nguyên qua mạng. Họ không áp dụng nếu bạn đăng nhập cục bộ, ví dụ như thông qua các dịch vụ đầu cuối.
- Nó áp dụng cho tất cả các tệp và thư mục trong tài nguyên được chia sẻ. Nếu bạn muốn cung cấp một loại sơ đồ hạn chế chi tiết hơn, bạn nên sử dụng Quyền NTFS ngoài các quyền được chia sẻ
- Nếu bạn có bất kỳ khối lượng định dạng FAT hoặc FAT32 nào, đây sẽ là hình thức hạn chế duy nhất có sẵn cho bạn, vì Quyền NTFS không có sẵn trên các hệ thống tệp đó.
Quyền NTFS:
- Hạn chế duy nhất đối với Quyền NTFS là chúng chỉ có thể được đặt trên một ổ đĩa được định dạng cho hệ thống tệp NTFS
- Hãy nhớ rằng NTFS được tích lũy, điều đó có nghĩa là các quyền hiệu quả của người dùng là kết quả của việc kết hợp các quyền được chỉ định của người dùng và quyền của bất kỳ nhóm nào mà người dùng thuộc về.
Quyền chia sẻ mới
Windows 7 đã mua cùng với một kỹ thuật chia sẻ dễ dàng trên mạng mới. Các tùy chọn thay đổi từ Đọc, Thay đổi và Kiểm soát hoàn toàn thành. Đọc và đọc / viết. Ý tưởng này là một phần của tâm lý toàn bộ nhóm Home và giúp dễ dàng chia sẻ một thư mục cho những người không biết chữ. Điều này được thực hiện thông qua menu ngữ cảnh và chia sẻ với nhóm nhà của bạn một cách dễ dàng.
Nếu bạn muốn chia sẻ với một người không thuộc nhóm nhà, bạn luôn có thể chọn tùy chọn người dùng cụ thể. Điều này sẽ mang đến một hộp thoại nhiều chi tiết hơn. Nơi bạn có thể chỉ định một người dùng hoặc nhóm cụ thể.
Chỉ có hai quyền như đã đề cập trước đó, cùng nhau họ cung cấp một sơ đồ bảo vệ toàn bộ hoặc không có gì cho các thư mục và tệp của bạn.
- Đọc quyền là giao diện, không chạm vào tùy chọn. Người nhận có thể mở, nhưng không sửa đổi hoặc xóa tệp.
- Đọc viết là những người làm bất cứ điều gì tùy chọn. Người nhận có thể mở, sửa đổi hoặc xóa một tập tin.
Con đường cũ
Hộp thoại chia sẻ cũ có nhiều tùy chọn hơn và cho chúng ta tùy chọn chia sẻ thư mục dưới một bí danh khác, nó cho phép chúng tôi giới hạn số lượng kết nối đồng thời cũng như định cấu hình bộ đệm. Không có chức năng nào trong số này bị mất trong Windows 7 mà chỉ bị ẩn dưới một tùy chọn có tên là Advanced Advanced Sharing. Nếu bạn nhấp chuột phải vào một thư mục và đi đến các thuộc tính của nó, bạn có thể tìm thấy các cài đặt Chia sẻ nâng cao này trong tab chia sẻ.
Nếu bạn nhấp vào nút Chia sẻ nâng cao của nhóm Viking, yêu cầu thông tin đăng nhập của quản trị viên cục bộ, bạn có thể định cấu hình tất cả các cài đặt mà bạn đã quen thuộc trong các phiên bản Windows trước.
Nếu bạn nhấp vào nút quyền, bạn sẽ thấy 3 cài đặt mà chúng ta đều quen thuộc.
- Đọc quyền cho phép bạn xem và mở các tệp và thư mục con cũng như thực thi các ứng dụng. Tuy nhiên, nó không cho phép bất kỳ thay đổi nào được thực hiện.
- Sửa đổi sự cho phép cho phép bạn làm bất cứ điều gì Đọc quyền cho phép, nó cũng thêm khả năng thêm tệp và thư mục con, xóa thư mục con và thay đổi dữ liệu trong tệp.
- Kiểm soát hoàn toàn là những người làm bất cứ điều gì mà các quyền của cổ điển, vì nó cho phép bạn thực hiện bất kỳ và tất cả các quyền trước đó. Ngoài ra, nó cung cấp cho bạn Quyền thay đổi NTFS nâng cao, điều này chỉ áp dụng trên Thư mục NTFS
Quyền NTFS
Quyền NTFS cho phép kiểm soát rất chi tiết đối với các tệp và thư mục của bạn. Với điều đó, lượng chi tiết có thể gây khó khăn cho người mới. Bạn cũng có thể đặt quyền NTFS trên cơ sở cho mỗi tệp cũng như trên cơ sở từng thư mục. Để đặt Quyền NTFS cho tệp, bạn nên nhấp chuột phải và chuyển đến thuộc tính tệp nơi bạn cần chuyển đến tab bảo mật.
Để chỉnh sửa Quyền NTFS cho Người dùng hoặc Nhóm, nhấp vào nút chỉnh sửa.
Như bạn có thể thấy có khá nhiều Quyền NTFS, vì vậy hãy phá vỡ chúng. Đầu tiên chúng ta sẽ xem xét các Quyền NTFS mà bạn có thể đặt trên một tệp.
- Kiểm soát hoàn toàn cho phép bạn đọc, viết, sửa đổi, thực thi, thay đổi thuộc tính, quyền và quyền sở hữu tệp.
- Sửa đổi cho phép bạn đọc, viết, sửa đổi, thực thi và thay đổi các thuộc tính của tệp.
- Đọc và thi hành sẽ cho phép bạn hiển thị dữ liệu, thuộc tính, chủ sở hữu và quyền của tệp và chạy tệp nếu đó là chương trình.
- Đọc sẽ cho phép bạn mở tệp, xem thuộc tính, chủ sở hữu và quyền của nó.
- Viết sẽ cho phép bạn ghi dữ liệu vào tệp, nối vào tệp và đọc hoặc thay đổi các thuộc tính của tệp.
Quyền NTFS cho các thư mục có các tùy chọn hơi khác nhau, vì vậy hãy xem chúng.
- Kiểm soát hoàn toàn cho phép bạn đọc, viết, sửa đổi và thực thi các tệp trong thư mục, thay đổi thuộc tính, quyền và quyền sở hữu thư mục hoặc tệp trong.
- Sửa đổi cho phép bạn đọc, viết, sửa đổi và thực thi các tệp trong thư mục và thay đổi các thuộc tính của thư mục hoặc các tệp trong.
- Đọc và thi hành sẽ cho phép bạn hiển thị nội dung của thư mục và hiển thị dữ liệu, thuộc tính, chủ sở hữu và quyền cho các tệp trong thư mục và chạy các tệp trong thư mục.
- Danh sách nội dung thư mục sẽ cho phép bạn hiển thị nội dung của thư mục và hiển thị dữ liệu, thuộc tính, chủ sở hữu và quyền cho các tệp trong thư mục.
- Đọc sẽ cho phép bạn hiển thị dữ liệu, thuộc tính, chủ sở hữu và quyền của tệp.
- Viết sẽ cho phép bạn ghi dữ liệu vào tệp, nối vào tệp và đọc hoặc thay đổi các thuộc tính của tệp.
Tài liệu của Microsoft cũng tuyên bố rằng Nội dung thư mục trong danh sách của Nhật Bản sẽ cho phép bạn thực thi các tệp trong thư mục, nhưng bạn vẫn sẽ cần phải bật chức năng Đọc và thực hiện điều tra để thực hiện điều đó. Đó là một sự cho phép tài liệu rất khó hiểu.
Tóm lược
Tóm lại, tên và nhóm người dùng là các đại diện của một chuỗi chữ và số được gọi là SID (Mã định danh bảo mật), Quyền và chia sẻ NTFS được gắn với các SID này. Quyền chia sẻ chỉ được kiểm tra bởi LSSAS khi được truy cập qua mạng, trong khi Quyền NTFS chỉ có hiệu lực trên các máy cục bộ. Tôi hy vọng rằng tất cả các bạn đều hiểu rõ về cách bảo mật tệp và thư mục trong Windows 7. Nếu bạn có bất kỳ câu hỏi nào, vui lòng tắt âm trong các bình luận.