Come comprendere i permessi di file / condivisione di Windows 7 che confondono

Sommario:

Come comprendere i permessi di file / condivisione di Windows 7 che confondono
Come comprendere i permessi di file / condivisione di Windows 7 che confondono

Video: Come comprendere i permessi di file / condivisione di Windows 7 che confondono

Video: Come comprendere i permessi di file / condivisione di Windows 7 che confondono
Video: Ecco cosa fare quando non ci si ricorda la password di Steam-ITA - YouTube 2024, Aprile
Anonim
Hai mai provato a capire tutte le autorizzazioni in Windows? Sono disponibili autorizzazioni di condivisione, autorizzazioni NTFS, elenchi di controllo di accesso e altro. Ecco come lavorano tutti insieme.
Hai mai provato a capire tutte le autorizzazioni in Windows? Sono disponibili autorizzazioni di condivisione, autorizzazioni NTFS, elenchi di controllo di accesso e altro. Ecco come lavorano tutti insieme.

L'identificatore di sicurezza

I sistemi operativi Windows utilizzano i SID per rappresentare tutti i principi di sicurezza. I SID sono solo stringhe di lunghezza variabile di caratteri alfanumerici che rappresentano macchine, utenti e gruppi. I SID vengono aggiunti agli elenchi ACL (Access Control List) ogni volta che si concede l'autorizzazione di un utente o di un gruppo a un file o una cartella. Dietro la scena i SID sono memorizzati allo stesso modo di tutti gli altri oggetti dati, in formato binario. Tuttavia quando vedi un SID in Windows verrà visualizzato usando una sintassi più leggibile. Non capita spesso di vedere una qualsiasi forma di SID in Windows, lo scenario più comune è quando concedi a qualcuno l'autorizzazione per una risorsa, quindi il loro account utente viene eliminato, verrà quindi visualizzato come SID nell'ACL. Quindi diamo un'occhiata al formato tipico in cui vedrai i SID in Windows.

La notazione che vedrai richiede una certa sintassi, sotto sono le diverse parti di un SID in questa notazione.
La notazione che vedrai richiede una certa sintassi, sotto sono le diverse parti di un SID in questa notazione.
  1. Un prefisso 'S'
  2. Numero di revisione della struttura
  3. Un valore di autorizzazione dell'identificatore a 48 bit
  4. Un numero variabile di valori di sub-autorizzazione o identificatore relativo (RID) a 32 bit

Usando il mio SID nell'immagine seguente, suddivideremo le diverse sezioni per ottenere una migliore comprensione.

Image
Image

The SID Structure:

‘S’ – The first component of a SID is always an ‘S’. This is prefixed to all SIDs and is there to inform Windows that what follows is a SID. ‘1’ – The second component of a SID is the revision number of the SID specification, if the SID specification was to change it would provide backwards compatibility. As of Windows 7 and Server 2008 R2 the SID specification is still in the first revision. ‘5’ – The third section of a SID is called the Identifier Authority. This defines in what scope the SID was generated. Possible values for this sections of the SID can be:

  1. 0 – Null Authority
  2. 1 – World Authority
  3. 2 – Local Authority
  4. 3 – Creator Authority
  5. 4 – Non-unique Authority
  6. 5 – NT Authority

’21’ – The forth component is sub-authority 1, the value ’21’ is used in the forth field to specify that the sub-authorities that follow identify the Local Machine or the Domain. ‘1206375286-251249764-2214032401’ – These are called sub-authority 2,3 and 4 respectively. In our example this is used to identify the local machine, but could also be the the identifier for a Domain. ‘1000’ – Sub-authority 5 is the last component in our SID and is called the RID (Relative Identifier), the RID is relative to each security principle, please note that any user defined objects, the ones that are not shipped by Microsoft will have a RID of 1000 or greater.

Principi di sicurezza

Un principio di sicurezza è tutto ciò a cui è collegato un SID, possono essere utenti, computer e persino gruppi. I principi di sicurezza possono essere locali o essere nel contesto del dominio. Gestisci i principi di sicurezza locali attraverso lo snap-in Utenti e gruppi locali, sotto la gestione del computer. Per arrivarci fai clic con il pulsante destro del mouse sul collegamento del computer nel menu di avvio e scegli Gestisci.

Per aggiungere un nuovo principio di sicurezza dell'utente, puoi andare alla cartella degli utenti e fare clic con il tasto destro del mouse e scegliere un nuovo utente.
Per aggiungere un nuovo principio di sicurezza dell'utente, puoi andare alla cartella degli utenti e fare clic con il tasto destro del mouse e scegliere un nuovo utente.
Se si fa doppio clic su un utente, è possibile aggiungerli a un gruppo di sicurezza nella scheda Membro di.
Se si fa doppio clic su un utente, è possibile aggiungerli a un gruppo di sicurezza nella scheda Membro di.
Per creare un nuovo gruppo di sicurezza, accedere alla cartella Gruppi sul lato destro. Fare clic con il tasto destro sullo spazio bianco e selezionare il nuovo gruppo.
Per creare un nuovo gruppo di sicurezza, accedere alla cartella Gruppi sul lato destro. Fare clic con il tasto destro sullo spazio bianco e selezionare il nuovo gruppo.
Image
Image

Permessi di condivisione e autorizzazione NTFS

In Windows ci sono due tipi di permessi per file e cartelle, in primo luogo ci sono i permessi di condivisione e in secondo luogo ci sono permessi NTFS chiamati anche permessi di sicurezza. Prendi nota del fatto che quando si condivide una cartella per impostazione predefinita il gruppo "Tutti" riceve l'autorizzazione di lettura. La sicurezza delle cartelle viene solitamente effettuata con una combinazione di autorizzazione Condividi e NTFS, se questo è il caso, è fondamentale ricordare che il più restrittivo si applica sempre, ad esempio se l'autorizzazione di condivisione è impostata su Everyone = Read (che è l'impostazione predefinita), ma l'autorizzazione NTFS consente agli utenti di apportare una modifica al file, l'autorizzazione di condivisione avrà la priorità e gli utenti non potranno apportare modifiche. Quando si impostano le autorizzazioni, LSASS (Local Security Authority) controlla l'accesso alla risorsa. Quando si accede a un token di accesso con il SID su di esso, quando si accede alla risorsa, LSASS confronta il SID aggiunto all'ACL (Access Control List) e se il SID si trova nell'ACL determina se consentire o negare l'accesso. Non importa quali permessi usi ci sono differenze, quindi diamo un'occhiata per capire meglio quando dovremmo usare cosa.

Permessi di condivisione:

  1. Applicabile solo agli utenti che accedono alla risorsa attraverso la rete. Non si applicano se si accede localmente, ad esempio tramite servizi terminal.
  2. Si applica a tutti i file e le cartelle nella risorsa condivisa. Se si desidera fornire uno schema di restrizione più granulare, è necessario utilizzare l'autorizzazione NTFS oltre alle autorizzazioni condivise
  3. Se si dispone di volumi formattati FAT o FAT32, questa sarà l'unica forma di restrizione disponibile, poiché le autorizzazioni NTFS non sono disponibili su tali file system.

Autorizzazioni NTFS:

  1. L'unica restrizione sulle autorizzazioni NTFS è che possono essere impostate solo su un volume formattato nel file system NTFS
  2. Ricordare che NTFS è cumulativo che significa che le autorizzazioni effettive di un utente sono il risultato della combinazione delle autorizzazioni assegnate dall'utente e delle autorizzazioni di tutti i gruppi a cui appartiene l'utente.

Le nuove autorizzazioni di condivisione

Windows 7 acquistato con una nuova tecnica di condivisione "facile". Le opzioni sono cambiate da Leggi, Cambia e Controllo completo a. Leggi e leggi / scrivi. L'idea faceva parte dell'intera mentalità del gruppo Home e semplifica la condivisione di una cartella per le persone non alfabetizzate al computer. Questo viene fatto tramite il menu di scelta rapida e condivide facilmente il tuo gruppo Home.

Se si desidera condividere con qualcuno che non fa parte del gruppo di appartenenza, è sempre possibile scegliere l'opzione "Persone specifiche …". Il che aprirebbe un dialogo più "elaborato". Dove puoi specificare un utente o un gruppo specifico.
Se si desidera condividere con qualcuno che non fa parte del gruppo di appartenenza, è sempre possibile scegliere l'opzione "Persone specifiche …". Il che aprirebbe un dialogo più "elaborato". Dove puoi specificare un utente o un gruppo specifico.
Ci sono solo due permessi come precedentemente menzionato, insieme offrono uno schema di protezione tutto o niente per le tue cartelle e file.
Ci sono solo due permessi come precedentemente menzionato, insieme offrono uno schema di protezione tutto o niente per le tue cartelle e file.
  1. Read permission is the “look, don’t touch” option. Recipients can open, but not modify or delete a file.
  2. Read/Write is the “do anything” option. Recipients can open, modify, or delete a file.

The Old School Way

La vecchia finestra di dialogo ha più opzioni e ci ha dato la possibilità di condividere la cartella con un alias diverso, ci ha permesso di limitare il numero di connessioni simultanee e di configurare la memorizzazione nella cache. Nessuna di queste funzionalità viene persa in Windows 7, ma è nascosta sotto un'opzione chiamata "Condivisione avanzata". Se fai clic destro su una cartella e vai alle sue proprietà puoi trovare queste impostazioni "Condivisione avanzata" nella scheda di condivisione.

Se si fa clic sul pulsante "Condivisione avanzata", che richiede le credenziali dell'amministratore locale, è possibile configurare tutte le impostazioni che erano familiari con le versioni precedenti di Windows.
Se si fa clic sul pulsante "Condivisione avanzata", che richiede le credenziali dell'amministratore locale, è possibile configurare tutte le impostazioni che erano familiari con le versioni precedenti di Windows.
Se fai clic sul pulsante delle autorizzazioni ti verranno presentate le 3 impostazioni che tutti conosciamo.
Se fai clic sul pulsante delle autorizzazioni ti verranno presentate le 3 impostazioni che tutti conosciamo.
Image
Image
  1. Read permission allows you to view and open files and subdirectories as well as execute applications. However it doesn’t allow any changes to be made.
  2. Modify permission allows you to do anything that Read permission allows, it also add the ability to add files and subdirectories, delete subfolders and change data in the files.
  3. Full Control is the “do anything” of the classic permissions, as it allows for you to do any and all of the previous permissions. In addition it gives you the advanced changing NTFS Permission, this only applies on NTFS Folders

Autorizzazioni NTFS

L'autorizzazione NTFS consente un controllo molto granulare su file e cartelle. Detto ciò, la quantità di granularità può essere scoraggiante per un nuovo arrivato. È inoltre possibile impostare l'autorizzazione NTFS in base al file e in base alla cartella. Per impostare l'autorizzazione NTFS su un file, è necessario fare clic con il pulsante destro del mouse e accedere alle proprietà dei file in cui è necessario accedere alla scheda di sicurezza.

Image
Image

Per modificare le autorizzazioni NTFS per un utente o un gruppo, fare clic sul pulsante Modifica.

Come puoi vedere ci sono un sacco di permessi NTFS, quindi lasciali abbattere. Per prima cosa daremo un'occhiata alle autorizzazioni NTFS che è possibile impostare su un file.
Come puoi vedere ci sono un sacco di permessi NTFS, quindi lasciali abbattere. Per prima cosa daremo un'occhiata alle autorizzazioni NTFS che è possibile impostare su un file.
  1. Full Control allows you to read, write, modify, execute, change attributes, permissions, and take ownership of the file.
  2. Modify allows you to read, write, modify, execute, and change the file’s attributes.
  3. Read & Execute will allow you to display the file’s data, attributes, owner, and permissions, and run the file if its a program.
  4. Read will allow you to open the file, view its attributes, owner, and permissions.
  5. Write will allow you to write data to the file, append to the file, and read or change its attributes.

Le autorizzazioni NTFS per le cartelle hanno opzioni leggermente diverse, quindi diamo un'occhiata a queste.

Image
Image
  1. Full Control allows you to read, write, modify, and execute files in the folder, change attributes, permissions, and take ownership of the folder or files within.
  2. Modify allows you to read, write, modify, and execute files in the folder, and change attributes of the folder or files within.
  3. Read & Execute will allow you to display the folder’s contents and display the data, attributes, owner, and permissions for files within the folder, and run files within the folder.
  4. List Folder Contents will allow you to display the folder’s contents and display the data, attributes, owner, and permissions for files within the folder.
  5. Read will allow you to display the file’s data, attributes, owner, and permissions.
  6. Write will allow you to write data to the file, append to the file, and read or change its attributes.

La documentazione di Microsoft afferma inoltre che "Elenco contenuto cartella" consente di eseguire i file all'interno della cartella, ma per poterlo fare è necessario comunque abilitare "Leggi ed esegui". È un permesso documentato in modo molto confuso.

Sommario

In breve, i nomi utente e i gruppi sono rappresentazioni di una stringa alfanumerica denominata SID (Security Identifier), Share e le autorizzazioni NTFS sono legate a questi SID. Le autorizzazioni di condivisione vengono verificate da LSSAS solo quando si accede alla rete, mentre le autorizzazioni NTFS sono valide solo sulle macchine locali. Spero che tutti voi abbiate una buona conoscenza di come la sicurezza di file e cartelle in Windows 7 sia implementata. Se avete domande sentitevi liberi di suonare nei commenti.

Consigliato:

Account utente, gruppi, permessi e il loro ruolo nella condivisione

Account utente, gruppi, permessi e il loro ruolo nella condivisione

Questa classe How-To Geek School è destinata a persone che hanno la propria rete domestica con almeno un PC o dispositivo Windows. L'obiettivo finale è quello di fornire le conoscenze necessarie per impostare la condivisione in Windows ed essere in grado di condividere file, cartelle e dispositivi con altri PC o dispositivi nella rete domestica, indipendentemente dal sistema operativo.

Condivisione con la rete utilizzando la condivisione avanzata

Condivisione con la rete utilizzando la condivisione avanzata

L'obiettivo di questa lezione è spiegare il concetto di "Condivisione avanzata" e come funziona in Windows.

Condivisione con la rete tramite la procedura guidata di condivisione

Condivisione con la rete tramite la procedura guidata di condivisione

L'obiettivo di questa lezione è spiegare in dettaglio cosa è la "Condivisione guidata" in Windows, come funziona e come utilizzarla nella condivisione di rete.

Come ripristinare i permessi del file NTFS in Windows 10/8/7

Come ripristinare i permessi del file NTFS in Windows 10/8/7

Reimposta i permessi del file NTFS è un freeware che ti consente di ripristinare o ripristinare facilmente i permessi di file e sicurezza in Windows 10/8/7, senza usare la riga di comando.

Strumento di permessi efficace per file e cartelle in Windows 7

Strumento di permessi efficace per file e cartelle in Windows 7

Questo post ti dirà quali sono le autorizzazioni effettive di file e cartelle per un utente o gruppo di utenti in Windows e ti mostrerà come visualizzarli, inoltre scarica lo strumento Autorizzazioni effettive.