Assicurati di controllare gli articoli precedenti in questa serie di Geek School su Windows 7:
- Presentazione di How-To Geek School
- Aggiornamenti e migrazioni
- Configurazione dei dispositivi
- Gestione dei dischi
- Gestione delle applicazioni
- Gestire Internet Explorer
- Nozioni di base sull'indirizzamento IP
- Networking
- Rete wireless
- firewall di Windows
- Amministrazione remota
- Accesso remoto
- Monitoraggio, prestazioni e mantenimento di Windows aggiornati
E rimanete sintonizzati per il resto della serie tutta questa settimana.
Virtualizzazione delle cartelle
Windows 7 ha introdotto la nozione di librerie che ti permetteva di avere una posizione centralizzata da cui puoi visualizzare le risorse che si trovano altrove sul tuo computer. Più specificamente, la funzione librerie ti ha permesso di aggiungere cartelle da qualsiasi parte del tuo computer a una delle quattro librerie predefinite, Documenti, Musica, Video e Immagini, che sono facilmente accessibili dal pannello di navigazione di Windows Explorer.
- Quando aggiungi una cartella a una libreria, la cartella stessa non si sposta, ma viene creato un collegamento alla posizione della cartella.
- Per aggiungere una condivisione di rete alle tue librerie, questa deve essere disponibile offline, anche se potresti anche utilizzare un lavoro con l'uso di collegamenti simbolici.
Per aggiungere una cartella a una libreria, basta andare nella libreria e fare clic sul link delle posizioni.
L'identificatore di sicurezza
Il sistema operativo Windows utilizza SID per rappresentare tutti i principi di sicurezza. I SID sono solo stringhe di lunghezza variabile di caratteri alfanumerici che rappresentano macchine, utenti e gruppi. I SID vengono aggiunti agli elenchi ACL (Access Control List) ogni volta che si concede l'autorizzazione di un utente o di un gruppo a un file o una cartella. Dietro le quinte, i SID sono memorizzati allo stesso modo di tutti gli altri oggetti dati: in binario. Tuttavia, quando viene visualizzato un SID in Windows, verrà visualizzato utilizzando una sintassi più leggibile. Non capita spesso di vedere qualsiasi forma di SID in Windows; lo scenario più comune è quando concedi a qualcuno l'autorizzazione per una risorsa, quindi elimina il loro account utente. Il SID verrà quindi visualizzato nell'ACL. Quindi diamo un'occhiata al formato tipico in cui vedrai i SID in Windows.
- Un prefisso 'S'
- Numero di revisione della struttura
- Un valore di autorizzazione dell'identificatore a 48 bit
- Un numero variabile di valori di sub-autorizzazione o identificatore relativo (RID) a 32 bit
Usando il mio SID nell'immagine seguente, suddivideremo le diverse sezioni per ottenere una migliore comprensione.
The SID Structure:
‘S’ – The first component of a SID is always an ‘S’. This is prefixed to all SIDs and is there to inform Windows that what follows is a SID. ’1′ – The second component of a SID is the revision number of the SID specification. If the SID specification was to change it would provide backwards compatibility. As of Windows 7 and Server 2008 R2, the SID specification is still in the first revision. ’5′ – The third section of a SID is called the Identifier Authority. This defines in what scope the SID was generated. Possible values for this sections of the SID can be:
- 0 – Null Authority
- 1 – World Authority
- 2 – Local Authority
- 3 – Creator Authority
- 4 – Non-unique Authority
- 5 – NT Authority
’21′ – The fourth component is sub-authority 1. The value ’21′ is used in the fourth field to specify that the sub-authorities that follow identify the Local Machine or the Domain. ’1206375286-251249764-2214032401′ – These are called sub-authority 2,3 and 4 respectively. In our example this is used to identify the local machine, but could also be the the identifier for a Domain. ’1000′ – Sub-authority 5 is the last component in our SID and is called the RID (Relative Identifier). The RID is relative to each security principle: please note that any user defined objects, the ones that are not shipped by Microsoft, will have a RID of 1000 or greater.
Principi di sicurezza
Un principio di sicurezza è tutto ciò che ha un SID ad esso collegato. Questi possono essere utenti, computer e persino gruppi. I principi di sicurezza possono essere locali o essere nel contesto del dominio. Gestisci i principi di sicurezza locali attraverso lo snap-in Utenti e gruppi locali, sotto la gestione del computer. Per arrivarci, fai clic con il pulsante destro del mouse sul collegamento del computer nel menu di avvio e scegli Gestisci.
Permessi di condivisione e autorizzazione NTFS
In Windows ci sono due tipi di autorizzazioni per file e cartelle. In primo luogo, ci sono i permessi di condivisione. In secondo luogo, ci sono permessi NTFS, che sono anche chiamati permessi di sicurezza. La protezione delle cartelle condivise viene in genere eseguita con una combinazione di autorizzazioni Condivisione e NTFS. Poiché questo è il caso, è fondamentale ricordare che l'autorizzazione più restrittiva si applica sempre. Ad esempio, se l'autorizzazione di condivisione dà il permesso di lettura del principio di sicurezza Everyone, ma l'autorizzazione NTFS consente agli utenti di apportare una modifica al file, l'autorizzazione della condivisione avrà la precedenza e gli utenti non potranno apportare modifiche. Quando si impostano le autorizzazioni, LSASS (Local Security Authority) controlla l'accesso alla risorsa. Quando si accede, viene fornito un token di accesso con il SID su di esso. Quando si accede alla risorsa, LSASS confronta il SID aggiunto all'ACL (Access Control List). Se il SID si trova nell'ACL, determina se consentire o negare l'accesso. Non importa quali permessi usi, ci sono delle differenze, quindi diamo un'occhiata per capire meglio quando dovremmo usare cosa.
Permessi di condivisione:
- Applicabile solo agli utenti che accedono alla risorsa attraverso la rete. Non si applicano se si accede localmente, ad esempio tramite servizi terminal.
- Si applica a tutti i file e le cartelle nella risorsa condivisa. Se si desidera fornire uno schema di restrizione più granulare, è necessario utilizzare l'autorizzazione NTFS oltre alle autorizzazioni condivise
- Se si dispone di volumi formattati FAT o FAT32, questa sarà l'unica forma di restrizione disponibile, poiché le autorizzazioni NTFS non sono disponibili su tali file system.
Autorizzazioni NTFS:
- L'unica restrizione sulle autorizzazioni NTFS è che possono essere impostate solo su un volume formattato nel file system NTFS
- Ricordare che le autorizzazioni NTFS sono cumulative.Ciò significa che le autorizzazioni effettive di un utente sono il risultato della combinazione delle autorizzazioni assegnate dall'utente e delle autorizzazioni di tutti i gruppi a cui appartiene l'utente.
Le nuove autorizzazioni di condivisione
Windows 7 acquistato con una nuova tecnica di condivisione "facile". Le opzioni sono cambiate da lettura, modifica e controllo completo a lettura e lettura / scrittura. L'idea faceva parte dell'intera mentalità di Homegroup e semplifica la condivisione di una cartella per persone non alfabetizzate. Ciò avviene tramite il menu di scelta rapida e condivide facilmente il tuo gruppo Home.
- Read permission is the “look, don’t touch” option. Recipients can open, but not modify or delete a file.
- Read/Write is the “do anything” option. Recipients can open, modify, or delete a file.
Permesso per la vecchia scuola
La vecchia finestra di dialogo condivisa aveva più opzioni, come l'opzione per condividere la cartella con un alias diverso. Ci ha permesso di limitare il numero di connessioni simultanee e di configurare il caching. Nessuna di queste funzionalità viene persa in Windows 7, ma è nascosta sotto un'opzione chiamata "Condivisione avanzata". Se fai clic destro su una cartella e vai alle sue proprietà puoi trovare queste impostazioni "Condivisione avanzata" nella scheda di condivisione.
- Leggere autorizzazione consente di visualizzare e aprire file e sottodirectory nonché di eseguire applicazioni. Tuttavia non consente di apportare modifiche.
- Modificare il permesso ti permette di fare qualsiasi cosa Leggere permesso consente, e aggiunge anche la possibilità di aggiungere file e sottodirectory, eliminare le sottocartelle e modificare i dati nei file.
- Pieno controllo è il "fai qualcosa" delle autorizzazioni classiche, in quanto ti consente di fare qualsiasi e tutte le autorizzazioni precedenti. Inoltre, ti dà il permesso di modifica NTFS avanzato, ma questo si applica solo alle cartelle NTFS
Autorizzazioni NTFS
Le autorizzazioni NTFS consentono un controllo molto granulare su file e cartelle. Detto questo, la quantità di granularità può essere scoraggiante per un nuovo arrivato. È inoltre possibile impostare l'autorizzazione NTFS in base al file e in base alla cartella. Per impostare l'autorizzazione NTFS su un file, è necessario fare clic con il pulsante destro del mouse e accedere alle proprietà del file, quindi accedere alla scheda Sicurezza.
- Full Control allows you to read, write, modify, execute, change attributes, permissions, and take ownership of the file.
- Modify allows you to read, write, modify, execute, and change the file’s attributes.
- Read & Execute will allow you to display the file’s data, attributes, owner, and permissions, and run the file if it’s a program.
- Read will allow you to open the file, view its attributes, owner, and permissions.
- Write will allow you to write data to the file, append to the file, and read or change its attributes.
Le autorizzazioni NTFS per le cartelle hanno opzioni leggermente diverse, quindi diamo un'occhiata a queste.
- Full Control will allow you to read, write, modify, and execute files in the folder, change attributes, permissions, and take ownership of the folder or files within.
- Modify will allow you to read, write, modify, and execute files in the folder, and change attributes of the folder or files within.
- Read & Execute will allow you to display the folder’s contents and display the data, attributes, owner, and permissions for files within the folder, and run files within the folder.
- List Folder Contents will allow you to display the folder’s contents and display the data, attributes, owner, and permissions for files within the folder, and run files within the folder
- Read will allow you to display the file’s data, attributes, owner, and permissions.
- Write will allow you to write data to the file, append to the file, and read or change its attributes.
Sommario
In breve, i nomi utente e i gruppi sono rappresentazioni di una stringa alfanumerica denominata SID (Security Identifier). Le autorizzazioni di condivisione e NTFS sono legate a questi SID. Le autorizzazioni di condivisione vengono verificate da LSSAS solo quando si accede alla rete, mentre le autorizzazioni NTFS sono combinate con le autorizzazioni di condivisione per consentire un livello più granulare di sicurezza per le risorse a cui si accede tramite la rete e localmente.
Accesso a una risorsa condivisa
Così ora che abbiamo imparato a conoscere i due metodi che possiamo usare per condividere il contenuto sui nostri PC, come si fa ad accedervi tramite la rete? È molto semplice Basta digitare quanto segue nella barra di navigazione.
computernamesharename
Nota: Ovviamente è necessario sostituire computername per il nome del PC che ospita la condivisione e il nome di condivisione per il nome della condivisione.
- Stiamo usando il utilizzo netto comando per mappare l'unità.
- Noi usiamo il * per indicare che vogliamo usare la prossima lettera di unità disponibile.
- Finalmente noi specificare la condivisione vogliamo mappare l'unità a. Si noti che abbiamo usato virgolette perché il percorso UNC contiene spazi.
Crittografia dei file tramite Crittografia file system
Windows include la possibilità di crittografare i file su un volume NTFS. Ciò significa che solo tu sarai in grado di decodificare i file e visualizzarli. Per crittografare un file, è sufficiente fare clic con il pulsante destro del mouse su di esso e selezionare Proprietà dal menu di scelta rapida.
Compiti a casa
- Informazioni sull'ereditarietà delle autorizzazioni e le autorizzazioni effettive.
- Leggi questo documento Microsoft.
- Scopri perché vorresti utilizzare BranchCache.
- Scopri come condividere le stampanti e perché vorresti.