Học tập Geek Windows 7 - Truy cập tài nguyên

Trong bản cài đặt này của Geek School, chúng ta hãy xem Ảo hóa thư mục, SID và quyền, cũng như Hệ thống tệp mã hóa.

Hãy chắc chắn kiểm tra các bài viết trước trong loạt Geek School này trên Windows 7:

Giới thiệu trường học How-To Geek
Nâng cấp và di chuyển
Cấu hình thiết bị
Quản lý đĩa
Quản lý ứng dụng
Quản lý Internet Explorer
Địa chỉ IP cơ bản
Mạng
Mạng không dây
Tường lửa Windows
Quản trị từ xa
Tiếp cận từ xa
Theo dõi, hiệu suất và giữ cho Windows cập nhật

Và theo dõi phần còn lại của loạt bài trong tuần này.

Ảo hóa thư mục

Windows 7 đã đưa ra khái niệm về các thư viện cho phép bạn có một vị trí tập trung mà từ đó bạn có thể xem các tài nguyên nằm ở nơi khác trên máy tính của mình. Cụ thể hơn, tính năng thư viện cho phép bạn thêm các thư mục từ bất kỳ nơi nào trên máy tính của bạn vào một trong bốn thư viện mặc định, Tài liệu, Âm nhạc, Video và Hình ảnh, có thể truy cập dễ dàng từ ngăn điều hướng của Windows Explorer.

Có hai điều quan trọng cần lưu ý về tính năng thư viện:

Khi bạn thêm thư mục vào thư viện, thư mục sẽ không di chuyển, thay vào đó, một liên kết được tạo đến vị trí của thư mục.
Để thêm chia sẻ mạng vào thư viện của bạn, nó phải có sẵn ngoại tuyến, mặc dù bạn cũng có thể sử dụng một công việc xung quanh bằng các liên kết tượng trưng.

Để thêm thư mục vào thư viện, chỉ cần vào thư viện và nhấp vào liên kết vị trí.

Sau đó nhấp vào nút thêm.

Bây giờ xác định vị trí thư mục bạn muốn đưa vào thư viện và nhấp vào nút Bao gồm thư mục.

Thats tất cả để có nó.

Mã định danh bảo mật

Hệ điều hành Windows sử dụng SID để thể hiện tất cả các nguyên tắc bảo mật. SID chỉ là các chuỗi ký tự chữ và số có độ dài thay đổi đại diện cho máy móc, người dùng và nhóm. SID được thêm vào ACL (Danh sách điều khiển truy cập) mỗi khi bạn cấp quyền cho người dùng hoặc nhóm cho tệp hoặc thư mục. Đằng sau hậu trường, SID được lưu trữ giống như tất cả các đối tượng dữ liệu khác: ở dạng nhị phân. Tuy nhiên, khi bạn thấy SID trong Windows, nó sẽ được hiển thị bằng cú pháp dễ đọc hơn. Không thường xuyên bạn sẽ thấy bất kỳ hình thức SID nào trong Windows; kịch bản phổ biến nhất là khi bạn cấp quyền cho ai đó cho tài nguyên, sau đó xóa tài khoản người dùng của họ. SID sau đó sẽ hiển thị trong ACL. Vì vậy, hãy xem định dạng điển hình trong đó bạn sẽ thấy SID trong Windows.

Ký hiệu mà bạn sẽ thấy có một cú pháp nhất định. Dưới đây là các phần khác nhau của SID.

Tiền tố 'S'
Số sửa đổi cấu trúc
Giá trị ủy quyền định danh 48 bit
Một số biến của các giá trị thẩm quyền phụ 32 bit hoặc định danh tương đối (RID)

Sử dụng SID của tôi trong hình ảnh bên dưới, chúng tôi sẽ chia các phần khác nhau để hiểu rõ hơn.

Cấu trúc SID:

'S' - Thành phần đầu tiên của SID luôn là 'S'. Đây là tiền tố cho tất cả các SID và có mặt để thông báo cho Windows rằng những gì tiếp theo là SID.
'1' - Thành phần thứ hai của SID là số sửa đổi của đặc tả SID. Nếu đặc tả SID thay đổi, nó sẽ cung cấp khả năng tương thích ngược. Kể từ Windows 7 và Server 2008 R2, thông số SID vẫn ở phiên bản đầu tiên.
'5' - Phần thứ ba của SID được gọi là Cơ quan định danh. Điều này xác định trong phạm vi SID được tạo ra. Các giá trị có thể có cho phần này của SID có thể là:

0 - Cơ quan không có thẩm quyền

1 - Cơ quan thẩm quyền thế giới

2 - Chính quyền địa phương

3 - Cơ quan sáng tạo

4 - Cơ quan không duy nhất

5 - Cơ quan NT

'21' - Thành phần thứ tư là quyền hạn phụ 1. Giá trị '21' được sử dụng trong trường thứ tư để chỉ định rằng các cơ quan phụ theo sau xác định Máy cục bộ hoặc Miền.
'1206375286-251249764-2214032401' - Chúng được gọi là cơ quan phụ 2,3 và 4 tương ứng. Trong ví dụ của chúng tôi, điều này được sử dụng để xác định máy cục bộ, nhưng cũng có thể là định danh cho Miền.
'1000' - Cơ quan phụ 5 là thành phần cuối cùng trong SID của chúng tôi và được gọi là RID (Mã định danh tương đối). RID liên quan đến từng nguyên tắc bảo mật: xin lưu ý rằng bất kỳ đối tượng nào do người dùng xác định, những đối tượng không được Microsoft giao, sẽ có RID từ 1000 trở lên.

Nguyên tắc bảo mật

Nguyên tắc bảo mật là bất cứ thứ gì có SID kèm theo. Đây có thể là người dùng, máy tính và thậm chí các nhóm. Nguyên tắc bảo mật có thể là cục bộ hoặc trong bối cảnh miền. Bạn quản lý các nguyên tắc bảo mật cục bộ thông qua snap-in Local Users and Groups, dưới sự quản lý của máy tính. Để đến đó, nhấp chuột phải vào phím tắt máy tính trong menu bắt đầu và chọn quản lý.

Để thêm một nguyên tắc bảo mật người dùng mới, bạn có thể vào thư mục Người dùng và nhấp chuột phải và chọn Người dùng mới.

Nếu bạn nhấp đúp chuột vào người dùng, bạn có thể thêm họ vào Nhóm bảo mật trên tab Thành viên.

Để tạo một nhóm bảo mật mới, hãy điều hướng đến thư mục Nhóm ở phía bên tay phải. Nhấp chuột phải vào khoảng trắng và chọn Nhóm mới.

Quyền chia sẻ và quyền NTFS

Trong Windows có hai loại quyền và tệp. Thứ nhất, có Quyền chia sẻ. Thứ hai, có Quyền NTFS, còn được gọi là Quyền Bảo mật. Bảo mật các thư mục được chia sẻ thường được thực hiện với sự kết hợp của Quyền chia sẻ và NTFS. Vì đây là trường hợp, điều cần thiết là phải nhớ rằng sự cho phép hạn chế nhất luôn được áp dụng. Ví dụ: nếu quyền chia sẻ cho phép đọc nguyên tắc bảo mật Mọi người, nhưng quyền NTFS cho phép người dùng thay đổi tệp, quyền chia sẻ sẽ được ưu tiên và người dùng sẽ không được phép thay đổi. Khi bạn đặt quyền, LSASS (Cơ quan bảo mật cục bộ) kiểm soát quyền truy cập vào tài nguyên. Khi bạn đăng nhập, bạn được cấp mã thông báo truy cập với SID của bạn trên đó. Khi bạn truy cập tài nguyên, LSASS so sánh SID mà bạn đã thêm vào ACL (Danh sách điều khiển truy cập). Nếu SID nằm trên ACL, nó sẽ xác định xem có cho phép hoặc từ chối truy cập hay không. Cho dù bạn sử dụng quyền gì, vẫn có sự khác biệt, vì vậy hãy xem để hiểu rõ hơn khi nào chúng ta nên sử dụng những gì.

Quyền chia sẻ:

Chỉ áp dụng cho người dùng truy cập tài nguyên qua mạng. Họ không áp dụng nếu bạn đăng nhập cục bộ, ví dụ như thông qua các dịch vụ đầu cuối.
Nó áp dụng cho tất cả các tệp và thư mục trong tài nguyên được chia sẻ. Nếu bạn muốn cung cấp một loại sơ đồ hạn chế chi tiết hơn, bạn nên sử dụng Quyền NTFS ngoài các quyền được chia sẻ
Nếu bạn có bất kỳ khối lượng định dạng FAT hoặc FAT32 nào, đây sẽ là hình thức hạn chế duy nhất có sẵn cho bạn, vì Quyền NTFS không có sẵn trên các hệ thống tệp đó.

Quyền NTFS:

Hạn chế duy nhất đối với Quyền NTFS là chúng chỉ có thể được đặt trên một ổ đĩa được định dạng cho hệ thống tệp NTFS
Hãy nhớ rằng Quyền NTFS được tích lũy. Điều đó có nghĩa là các quyền hiệu quả của người dùng là kết quả của việc kết hợp các quyền được chỉ định của người dùng và quyền của bất kỳ nhóm nào mà người dùng thuộc về.

Quyền chia sẻ mới

Windows 7 đã mua cùng với một kỹ thuật chia sẻ dễ dàng trên mạng mới. Các tùy chọn thay đổi từ Đọc, Thay đổi và Kiểm soát hoàn toàn thành Đọc và Đọc / Viết. Ý tưởng này là một phần của toàn bộ tâm lý Homegroup và giúp dễ dàng chia sẻ một thư mục cho những người không biết chữ. Điều này được thực hiện thông qua menu ngữ cảnh và chia sẻ với nhóm nhà của bạn một cách dễ dàng.

Nếu bạn muốn chia sẻ với một người không thuộc nhóm nhà, bạn luôn có thể chọn tùy chọn Cá nhân cụ thể. Điều này sẽ mang đến một hộp thoại nhiều chi tiết hơn, trong đó bạn có thể chỉ định người dùng hoặc nhóm.

Chỉ có hai quyền, như đã đề cập trước đó. Cùng nhau, họ cung cấp một lược đồ bảo vệ tất cả hoặc không có gì cho các thư mục và tệp của bạn.

Đọc quyền là giao diện, không chạm vào tùy chọn. Người nhận có thể mở, nhưng không sửa đổi hoặc xóa tệp.

Đọc viết là những người làm bất cứ điều gì tùy chọn. Người nhận có thể mở, sửa đổi hoặc xóa một tập tin.

Giấy phép học cũ

Hộp thoại chia sẻ cũ có nhiều tùy chọn hơn, chẳng hạn như tùy chọn chia sẻ thư mục dưới một bí danh khác. Nó cho phép chúng tôi giới hạn số lượng kết nối đồng thời cũng như cấu hình bộ đệm. Không có chức năng nào bị mất trong Windows 7, mà bị ẩn dưới một tùy chọn có tên là Advanced Advanced Sharing. Nếu bạn nhấp chuột phải vào một thư mục và đi đến các thuộc tính của nó, bạn có thể tìm thấy các cài đặt Chia sẻ nâng cao này trong tab chia sẻ.

Nếu bạn nhấp vào nút Chia sẻ nâng cao của nhóm Viking, yêu cầu thông tin đăng nhập của quản trị viên cục bộ, bạn có thể định cấu hình tất cả các cài đặt mà bạn đã quen thuộc trong các phiên bản Windows trước.

Nếu bạn nhấp vào nút quyền, bạn sẽ thấy 3 cài đặt mà chúng ta đều quen thuộc.

Đọc quyền cho phép bạn xem và mở các tệp và thư mục con cũng như thực thi các ứng dụng. Tuy nhiên, nó không cho phép bất kỳ thay đổi nào được thực hiện.
Sửa đổi sự cho phép cho phép bạn làm bất cứ điều gì Đọc quyền cho phép và nó cũng thêm khả năng thêm tệp và thư mục con, xóa thư mục con và thay đổi dữ liệu trong tệp.
Kiểm soát hoàn toàn là những người làm bất cứ điều gì mà các quyền của cổ điển, vì nó cho phép bạn thực hiện bất kỳ và tất cả các quyền trước đó. Ngoài ra, nó cung cấp cho bạn Quyền NTFS thay đổi nâng cao, nhưng điều này chỉ áp dụng trên Thư mục NTFS

Quyền NTFS

Quyền NTFS cho phép kiểm soát rất chi tiết đối với các tệp và thư mục của bạn. Như đã nói, lượng chi tiết có thể gây khó khăn cho người mới. Bạn cũng có thể đặt quyền NTFS trên cơ sở cho mỗi tệp cũng như trên cơ sở từng thư mục. Để đặt Quyền NTFS trên tệp, bạn nên nhấp chuột phải và chuyển đến thuộc tính của tệp, sau đó chuyển đến tab bảo mật.

Để chỉnh sửa Quyền NTFS cho Người dùng hoặc Nhóm, nhấp vào nút chỉnh sửa.

Như bạn có thể thấy, có khá nhiều Quyền NTFS, vì vậy hãy phá vỡ chúng. Trước tiên, chúng tôi sẽ xem xét Quyền NTFS mà bạn có thể đặt trên một tệp.

Kiểm soát hoàn toàn cho phép bạn đọc, viết, sửa đổi, thực thi, thay đổi thuộc tính, quyền và quyền sở hữu tệp.

Sửa đổi cho phép bạn đọc, viết, sửa đổi, thực thi và thay đổi các thuộc tính của tệp.

Đọc và thi hành sẽ cho phép bạn hiển thị dữ liệu, thuộc tính, chủ sở hữu và quyền của tệp và chạy tệp nếu đó là chương trình.

Đọc sẽ cho phép bạn mở tệp, xem thuộc tính, chủ sở hữu và quyền của nó.

Viết sẽ cho phép bạn ghi dữ liệu vào tệp, nối vào tệp và đọc hoặc thay đổi các thuộc tính của tệp.

Quyền NTFS cho các thư mục có các tùy chọn hơi khác nhau, vì vậy hãy xem chúng.

Kiểm soát hoàn toàn sẽ cho phép bạn đọc, viết, sửa đổi và thực thi các tệp trong thư mục, thay đổi thuộc tính, quyền và quyền sở hữu thư mục hoặc tệp trong.

Sửa đổi sẽ cho phép bạn đọc, viết, sửa đổi và thực thi các tệp trong thư mục và thay đổi các thuộc tính của thư mục hoặc các tệp trong.

Đọc và thi hành sẽ cho phép bạn hiển thị nội dung của thư mục và hiển thị dữ liệu, thuộc tính, chủ sở hữu và quyền cho các tệp trong thư mục và chạy các tệp trong thư mục.

Danh sách nội dung thư mục sẽ cho phép bạn hiển thị nội dung của thư mục và hiển thị dữ liệu, thuộc tính, chủ sở hữu và quyền cho các tệp trong thư mục và chạy các tệp trong thư mục

Đọc sẽ cho phép bạn hiển thị dữ liệu, thuộc tính, chủ sở hữu và quyền của tệp.

Viết sẽ cho phép bạn ghi dữ liệu vào tệp, nối vào tệp và đọc hoặc thay đổi các thuộc tính của tệp.

Tóm lược

Tóm lại, tên và nhóm người dùng là các đại diện của một chuỗi chữ và số được gọi là SID (Mã định danh bảo mật). Chia sẻ và quyền NTFS được gắn với các SID này. Quyền chia sẻ chỉ được kiểm tra bởi LSSAS khi được truy cập qua mạng, trong khi Quyền NTFS được kết hợp với Quyền chia sẻ để cho phép mức độ bảo mật chi tiết hơn cho các tài nguyên được truy cập qua mạng cũng như cục bộ.

Truy cập tài nguyên được chia sẻ

Vì vậy, bây giờ chúng ta đã tìm hiểu về hai phương pháp chúng ta có thể sử dụng để chia sẻ nội dung trên PC, làm thế nào để bạn thực sự truy cập nó qua mạng? Nó rất đơn giản. Chỉ cần gõ như sau vào thanh điều hướng.

\ tên máy tính \ sharename

Lưu ý: Rõ ràng bạn sẽ cần thay thế tên máy tính cho tên của PC lưu trữ chia sẻ và tên chia sẻ cho tên của chia sẻ.

Điều này là tuyệt vời cho một lần tắt kết nối, nhưng trong một môi trường công ty lớn hơn thì sao? Chắc chắn bạn không phải dạy người dùng của mình cách kết nối với tài nguyên mạng bằng phương pháp này. Để giải quyết vấn đề này, bạn sẽ muốn lập bản đồ ổ đĩa mạng cho mỗi người dùng, bằng cách này, bạn có thể khuyên họ lưu trữ tài liệu của họ trên ổ đĩa Hiếp, thay vì cố gắng giải thích cách kết nối với chia sẻ. Để ánh xạ ổ đĩa, hãy mở Máy tính và nhấp vào nút Ổ đĩa mạng Bản đồ mạng.

Sau đó, chỉ cần gõ vào đường dẫn UNC của chia sẻ.

Có lẽ bạn tự hỏi nếu bạn phải làm điều đó trên mọi PC, và may mắn là câu trả lời là không. Thay vào đó, bạn có thể viết một tập lệnh bó để tự động ánh xạ các ổ đĩa cho người dùng của bạn khi đăng nhập và triển khai nó thông qua Chính sách nhóm.

Nếu chúng ta mổ xẻ lệnh:

Chúng tôi đang sử dụng sử dụng ròng lệnh để ánh xạ ổ đĩa.
Chúng tôi sử dụng * để biểu thị rằng chúng tôi muốn sử dụng ký tự ổ đĩa có sẵn tiếp theo.
Cuối cùng chúng ta chỉ định chia sẻ chúng tôi muốn ánh xạ ổ đĩa đến. Lưu ý rằng chúng tôi đã sử dụng dấu ngoặc kép vì đường dẫn UNC chứa khoảng trắng.

Mã hóa tập tin bằng hệ thống tập tin mã hóa

Windows bao gồm khả năng mã hóa các tệp trên ổ đĩa NTFS. Điều này có nghĩa là chỉ bạn mới có thể giải mã các tệp và xem chúng. Để mã hóa một tập tin, chỉ cần nhấp chuột phải vào nó và chọn các thuộc tính từ menu ngữ cảnh.

Sau đó bấm vào nâng cao.

Bây giờ hãy kiểm tra hộp kiểm Mã hóa nội dung để bảo mật dữ liệu, sau đó bấm OK.

Bây giờ hãy tiếp tục và áp dụng các cài đặt.

Chúng tôi chỉ cần mã hóa tệp, nhưng bạn cũng có tùy chọn mã hóa thư mục mẹ.

Hãy lưu ý rằng một khi tệp được mã hóa, nó sẽ chuyển sang màu xanh.

Bây giờ bạn sẽ nhận thấy rằng chỉ bạn mới có thể mở tệp và những người dùng khác trên cùng một PC sẽ không thể. Quá trình mã hóa sử dụng mã hóa khóa công khai, vì vậy hãy giữ các khóa mã hóa của bạn an toàn. Nếu bạn mất chúng, tập tin của bạn sẽ biến mất và không có cách nào để phục hồi nó.

Bài tập về nhà

Tìm hiểu về kế thừa quyền và quyền hiệu quả.
Đọc tài liệu này của Microsoft.
Tìm hiểu lý do tại sao bạn muốn sử dụng BranchCache.
Tìm hiểu cách chia sẻ máy in và lý do bạn muốn.