วิธีการทำความเข้าใจกับการอนุญาตให้ใช้ไฟล์ / แชร์ของ Windows 7 ที่ทำให้เกิดความสับสน

คุณเคยลองคิดสิทธิ์ทั้งหมดใน Windows หรือไม่? มีสิทธิ์การแชร์สิทธิ์ NTFS รายการควบคุมการเข้าถึงและอื่น ๆ นี่คือวิธีที่พวกเขาทำงานร่วมกันทั้งหมด.

ตัวบ่งชี้ความปลอดภัย

ระบบปฏิบัติการ Windows ใช้ SID เพื่อแสดงถึงหลักการรักษาความปลอดภัยทั้งหมด SID เป็นเพียงสตริงความยาวผันแปรของตัวอักษรและตัวเลขที่เป็นตัวแทนของเครื่องจักรผู้ใช้และกลุ่ม SID จะถูกเพิ่มไปยัง ACL (Access Control Lists) ทุกครั้งที่คุณให้สิทธิ์ผู้ใช้หรือกลุ่มแก่ไฟล์หรือโฟลเดอร์ SIDs เบื้องหลังจะถูกจัดเก็บในลักษณะเดียวกับวัตถุข้อมูลอื่น ๆ ทั้งหมดในรูปแบบไบนารี อย่างไรก็ตามเมื่อคุณเห็น SID ใน Windows จะปรากฏขึ้นโดยใช้ไวยากรณ์ที่อ่านได้มากขึ้น บ่อยครั้งที่คุณจะเห็น SID รูปแบบใด ๆ ใน Windows สถานการณ์ที่พบบ่อยที่สุดคือเมื่อคุณให้สิทธิ์ใครบางคนแก่ทรัพยากรจากนั้นบัญชีผู้ใช้ของพวกเขาจะถูกลบออกจากนั้นจะปรากฏเป็น SID ใน ACL ลองมาดูรูปแบบทั่วไปที่คุณจะเห็น SID ใน Windows.

สัญกรณ์ที่คุณจะเห็นใช้ไวยากรณ์บางอย่างด้านล่างเป็นส่วนต่าง ๆ ของ SID ในสัญกรณ์นี้.

1. คำนำหน้า 'S'
2. หมายเลขการแก้ไขโครงสร้าง
3. ค่าการอนุญาตตัวระบุ 48 บิต
4. จำนวนตัวแปรของหน่วยงานย่อย 32 บิตหรือค่าสัมพัทธ์ตัวบ่งชี้ (RID)

การใช้ SID ของฉันในภาพด้านล่างเราจะแยกส่วนต่าง ๆ เพื่อทำความเข้าใจให้ดีขึ้น.

โครงสร้าง SID:

'S' - องค์ประกอบแรกของ SID จะเป็น 'S' เสมอ สิ่งนี้นำหน้า SID ทั้งหมดและจะมีการแจ้งให้ Windows ทราบว่าสิ่งต่อไปนี้คือ SID.
'1' - คอมโพเนนต์ที่สองของ SID คือหมายเลขการตรวจทานแก้ไขของข้อมูลจำเพาะ SID ถ้าข้อมูลจำเพาะ SID คือการเปลี่ยนแปลงมันจะให้ความเข้ากันได้ย้อนหลัง ตั้งแต่ Windows 7 และ Server 2008 R2 ข้อมูลจำเพาะ SID ยังคงอยู่ในการแก้ไขครั้งแรก.
'5' - ส่วนที่สามของ SID เรียกว่า Identifier Authority สิ่งนี้จะกำหนดขอบเขตที่ SID ถูกสร้างขึ้น ค่าที่เป็นไปได้สำหรับส่วนนี้ของ SID อาจเป็น:

1. 0 - ผู้มีอำนาจเป็นศูนย์
2. 1 - ผู้มีอำนาจระดับโลก
3. 2 - หน่วยงานท้องถิ่น
4. 3 - ผู้สร้างอำนาจ
5. 4 - ผู้มีอำนาจที่ไม่ซ้ำกัน
6. 5 - NT Authority

'21' - องค์ประกอบที่สี่คือหน่วยงานย่อย 1 ใช้ค่า '21' ในฟิลด์ที่สี่เพื่อระบุว่าหน่วยงานย่อยที่ตามมาระบุเครื่องท้องถิ่นหรือโดเมน.
'1206375286-251249764-2214032401' - สิ่งเหล่านี้เรียกว่า sub-Authority 2,3 และ 4 ตามลำดับ ในตัวอย่างของเราสิ่งนี้ใช้เพื่อระบุเครื่องท้องถิ่น แต่อาจเป็นตัวระบุสำหรับโดเมน.
1000 ' - หน่วยงานย่อย 5 เป็นองค์ประกอบสุดท้ายใน SID ของเราและเรียกว่า RID (Relative Identifier) ​​RID นั้นสัมพันธ์กับหลักการความปลอดภัยแต่ละข้อโปรดทราบว่าวัตถุที่ผู้ใช้กำหนดใด ๆ วัตถุที่ไม่ได้จัดส่งโดย Microsoft จะมี RID จาก 1,000 หรือมากกว่า.

หลักการรักษาความปลอดภัย

หลักการความปลอดภัยคืออะไรก็ตามที่มี SID แนบอยู่นั้นสามารถเป็นผู้ใช้คอมพิวเตอร์และกลุ่มได้ หลักการความปลอดภัยอาจเป็นแบบโลคัลหรืออยู่ในบริบทโดเมน คุณจัดการหลักการความปลอดภัยท้องถิ่นผ่านสแนปอินผู้ใช้และกลุ่มภายใต้การจัดการคอมพิวเตอร์ หากต้องการไปที่นั่นให้คลิกขวาที่ทางลัดคอมพิวเตอร์ในเมนูเริ่มแล้วเลือกจัดการ.

เพื่อเพิ่มหลักการรักษาความปลอดภัยของผู้ใช้ใหม่คุณสามารถไปที่โฟลเดอร์ผู้ใช้และคลิกขวาและเลือกผู้ใช้ใหม่.

หากคุณดับเบิลคลิกที่ผู้ใช้คุณสามารถเพิ่มพวกเขาไปยังกลุ่มความปลอดภัยในแท็บสมาชิกของ.

ในการสร้างกลุ่มความปลอดภัยใหม่ให้ไปที่โฟลเดอร์กลุ่มทางด้านขวา คลิกขวาที่ช่องว่างและเลือกกลุ่มใหม่.

แบ่งปันสิทธิ์และการอนุญาต NTFS

ใน Windows มีการอนุญาตไฟล์และโฟลเดอร์สองประเภทประการแรกมีการอนุญาตให้ใช้ร่วมกันและประการที่สองมีสิทธิ์ NTFS ที่เรียกว่าสิทธิ์การรักษาความปลอดภัย โปรดทราบว่าเมื่อคุณแชร์โฟลเดอร์โดยค่าเริ่มต้นกลุ่ม“ ทุกคน” จะได้รับสิทธิ์การอ่าน การรักษาความปลอดภัยในโฟลเดอร์นั้นมักจะมีการรวมกันของการอนุญาตแบบแบ่งใช้และ NTFS หากเป็นกรณีนี้จำเป็นที่จะต้องจำไว้ว่าข้อ จำกัด ส่วนใหญ่จะมีผลบังคับใช้เสมอตัวอย่างเช่นหากการอนุญาตให้ใช้ร่วมกันนั้นถูกตั้งไว้เป็น แต่การอนุญาต NTFS อนุญาตให้ผู้ใช้ทำการเปลี่ยนแปลงไฟล์การอนุญาตให้ใช้สิทธิ์จะมีการตั้งค่าและผู้ใช้จะไม่ได้รับอนุญาตให้ทำการเปลี่ยนแปลง เมื่อคุณตั้งค่าการอนุญาต LSASS (Local Security Authority) จะควบคุมการเข้าถึงทรัพยากร เมื่อคุณเข้าสู่ระบบคุณจะได้รับโทเค็นการเข้าถึงด้วย SID ของคุณเมื่อคุณไปเข้าถึงทรัพยากร LSASS จะเปรียบเทียบ SID ที่คุณเพิ่มไปยัง ACL (Access Control List) และหาก SID นั้นอยู่บน ACL จะกำหนดว่าจะ อนุญาตหรือปฏิเสธการเข้าถึง ไม่ว่าการอนุญาตที่คุณใช้จะมีความแตกต่างกันอย่างไรลองดูเพื่อทำความเข้าใจให้ดีขึ้นเมื่อเราควรใช้อะไร.

แบ่งปันสิทธิ์:

1. ใช้กับผู้ใช้ที่เข้าถึงทรัพยากรผ่านเครือข่ายเท่านั้น พวกเขาจะไม่นำไปใช้ถ้าคุณเข้าสู่ระบบในประเทศเช่นผ่านบริการสถานี.
2. มันใช้กับไฟล์และโฟลเดอร์ทั้งหมดในทรัพยากรที่ใช้ร่วมกัน หากคุณต้องการให้รูปแบบข้อ จำกัด ที่ละเอียดยิ่งขึ้นคุณควรใช้การอนุญาต NTFS นอกเหนือจากการอนุญาตที่ใช้ร่วมกัน
3. หากคุณมีวอลุ่มที่จัดรูปแบบ FAT หรือ FAT32 นี่จะเป็นข้อ จำกัด รูปแบบเดียวที่มีให้คุณเท่านั้นเนื่องจากสิทธิ์ NTFS ไม่สามารถใช้ได้กับระบบไฟล์เหล่านั้น.

สิทธิ์ของ NTFS:

1. ข้อ จำกัด เพียงอย่างเดียวของการอนุญาต NTFS คือสามารถตั้งค่าได้เฉพาะบนไดรฟ์ข้อมูลที่ฟอร์แมตเป็นระบบไฟล์ NTFS
2. โปรดจำไว้ว่า NTFS เป็นแบบสะสมซึ่งหมายความว่าผู้ใช้ที่ได้รับอนุญาตอย่างมีประสิทธิภาพนั้นเป็นผลมาจากการรวมสิทธิ์ที่ได้รับมอบหมายของผู้ใช้และสิทธิ์ของกลุ่มใด ๆ ที่ผู้ใช้เป็นเจ้าของ.

การอนุญาตแบ่งปันใหม่

Windows 7 ซื้อมาพร้อมเทคนิคการแบ่งปันแบบ "ง่าย" ใหม่ ตัวเลือกเปลี่ยนจากการอ่านการเปลี่ยนแปลงและการควบคุมทั้งหมดเป็น อ่านและอ่าน / เขียน แนวคิดนี้เป็นส่วนหนึ่งของความคิดของกลุ่มโฮมทั้งหมดและทำให้ง่ายต่อการแชร์โฟลเดอร์สำหรับผู้ที่ไม่มีความรู้ด้านคอมพิวเตอร์ สิ่งนี้ทำได้ผ่านเมนูบริบทและแบ่งปันกับกลุ่มบ้านของคุณได้อย่างง่ายดาย.

หากคุณต้องการแบ่งปันกับคนที่ไม่ได้อยู่ในกลุ่มบ้านคุณสามารถเลือกตัวเลือก“ เฉพาะคน…” ซึ่งจะนำขึ้นโต้ตอบ "ซับซ้อน" มากขึ้น คุณสามารถระบุผู้ใช้หรือกลุ่มเฉพาะได้ที่ไหน.

มีเพียงสองสิทธิ์ตามที่กล่าวไว้ก่อนหน้านี้โดยพวกเขานำเสนอรูปแบบการป้องกันทั้งหมดหรือไม่มีอะไรเลยสำหรับโฟลเดอร์และไฟล์ของคุณ.

1. อ่าน การอนุญาตคือตัวเลือก“ ดูอย่าแตะต้อง” ผู้รับสามารถเปิด แต่ไม่สามารถแก้ไขหรือลบไฟล์ได้.
2. อ่านเขียน เป็นตัวเลือก“ ทำอะไร” ผู้รับสามารถเปิดแก้ไขหรือลบไฟล์ได้.

วิถีแห่งโรงเรียนเก่า

กล่องโต้ตอบการแชร์แบบเก่ามีตัวเลือกเพิ่มเติมและให้ตัวเลือกแก่เราในการแชร์โฟลเดอร์ภายใต้ชื่อแทนอื่นทำให้เราสามารถ จำกัด จำนวนการเชื่อมต่อพร้อมกันรวมถึงกำหนดค่าการแคช ไม่มีฟังก์ชั่นนี้หายไปใน Windows 7 แต่จะถูกซ่อนอยู่ภายใต้ตัวเลือกที่เรียกว่า "การแชร์ขั้นสูง" หากคุณคลิกขวาที่โฟลเดอร์และไปที่คุณสมบัติคุณสามารถค้นหาการตั้งค่า“ การแชร์ขั้นสูง” เหล่านี้ได้ภายใต้แท็บการแชร์.

หากคุณคลิกที่ปุ่ม“ การแชร์ขั้นสูง” ซึ่งต้องการข้อมูลประจำตัวของผู้ดูแลระบบคุณสามารถกำหนดการตั้งค่าทั้งหมดที่คุณคุ้นเคยใน Windows รุ่นก่อนหน้า.

หากคุณคลิกที่ปุ่มการอนุญาตคุณจะได้รับการตั้งค่า 3 อย่างที่เราทุกคนคุ้นเคย.

1. อ่าน การอนุญาตให้คุณดูและเปิดไฟล์และไดเรกทอรีย่อยรวมถึงเรียกใช้แอปพลิเคชัน อย่างไรก็ตามไม่อนุญาตให้ทำการเปลี่ยนแปลงใด ๆ.
2. แก้ไข การอนุญาตให้คุณทำอะไรก็ได้ อ่าน ได้รับอนุญาตช่วยให้มันยังเพิ่มความสามารถในการเพิ่มไฟล์และไดเรกทอรีย่อยลบโฟลเดอร์ย่อยและเปลี่ยนข้อมูลในไฟล์.
3. ควบคุมทั้งหมด คือ "ทำทุกอย่าง" ของการอนุญาตแบบคลาสสิคเนื่องจากอนุญาตให้คุณทำการอนุญาตก่อนหน้านี้ใด ๆ และทั้งหมด นอกจากนี้ยังให้สิทธิ์ NTFS การเปลี่ยนแปลงขั้นสูงซึ่งจะใช้กับโฟลเดอร์ NTFS เท่านั้น

สิทธิ์ของ NTFS

การอนุญาตของ NTFS ช่วยให้สามารถควบคุมไฟล์และโฟลเดอร์ของคุณได้อย่างละเอียด ด้วยที่กล่าวว่าปริมาณของเมล็ดสามารถ daunting กับผู้มาใหม่ นอกจากนี้คุณยังสามารถตั้งค่าสิทธิ์ NTFS บนพื้นฐานต่อไฟล์เช่นเดียวกับต่อโฟลเดอร์ ในการตั้งค่าอนุญาต NTFS ในไฟล์คุณควรคลิกขวาและไปที่คุณสมบัติไฟล์ที่คุณจะต้องไปที่แท็บความปลอดภัย.

หากต้องการแก้ไขสิทธิ์ NTFS สำหรับผู้ใช้หรือกลุ่มให้คลิกที่ปุ่มแก้ไข.

อย่างที่คุณอาจจะเห็นว่ามีสิทธิ NTFS ค่อนข้างมาก ก่อนอื่นเราจะมาดูการอนุญาต NTFS ที่คุณสามารถตั้งค่าบนไฟล์.

1. ควบคุมทั้งหมด อนุญาตให้คุณอ่านเขียนแก้ไขดำเนินการเปลี่ยนคุณลักษณะสิทธิ์และการเป็นเจ้าของไฟล์.
2. แก้ไข อนุญาตให้คุณอ่านเขียนแก้ไขดำเนินการและเปลี่ยนคุณสมบัติของไฟล์.
3. อ่านและดำเนินการ จะอนุญาตให้คุณแสดงข้อมูลไฟล์คุณสมบัติเจ้าของและการอนุญาตของไฟล์และเรียกใช้ไฟล์หากเป็นโปรแกรม.
4. อ่าน จะอนุญาตให้คุณเปิดไฟล์ดูคุณสมบัติของเจ้าของและการอนุญาต.
5. เขียน จะช่วยให้คุณสามารถเขียนข้อมูลลงในไฟล์ต่อท้ายไฟล์และอ่านหรือเปลี่ยนคุณสมบัติของมัน.

สิทธิ์ NTFS สำหรับโฟลเดอร์มีตัวเลือกที่แตกต่างกันเล็กน้อยดังนั้นลองมาดูกัน.

1. ควบคุมทั้งหมด อนุญาตให้คุณอ่านเขียนแก้ไขและเรียกใช้ไฟล์ในโฟลเดอร์เปลี่ยนคุณสมบัติการอนุญาตและการเป็นเจ้าของโฟลเดอร์หรือไฟล์ภายใน.
2. แก้ไข ช่วยให้คุณอ่านเขียนแก้ไขและเรียกใช้ไฟล์ในโฟลเดอร์และเปลี่ยนคุณสมบัติของโฟลเดอร์หรือไฟล์ภายใน.
3. อ่านและดำเนินการ จะอนุญาตให้คุณแสดงเนื้อหาของโฟลเดอร์และแสดงข้อมูลคุณลักษณะเจ้าของและการอนุญาตสำหรับไฟล์ภายในโฟลเดอร์และเรียกใช้ไฟล์ภายในโฟลเดอร์.
4. รายการเนื้อหาของโฟลเดอร์ จะอนุญาตให้คุณแสดงเนื้อหาของโฟลเดอร์และแสดงข้อมูลคุณลักษณะเจ้าของและการอนุญาตสำหรับไฟล์ภายในโฟลเดอร์.
5. อ่าน จะอนุญาตให้คุณแสดงข้อมูลไฟล์คุณสมบัติเจ้าของและการอนุญาต.
6. เขียน จะช่วยให้คุณสามารถเขียนข้อมูลลงในไฟล์ต่อท้ายไฟล์และอ่านหรือเปลี่ยนคุณสมบัติของมัน.

เอกสารของ Microsoft ยังระบุด้วยว่า "List Folder Contents" จะช่วยให้คุณสามารถเรียกใช้ไฟล์ภายในโฟลเดอร์ได้ แต่คุณจะต้องเปิดใช้งาน“ Read & Execute” เพื่อดำเนินการดังกล่าว มันเป็นเอกสารที่อนุญาตอย่างสับสน.

สรุป

โดยสรุปชื่อผู้ใช้และกลุ่มเป็นตัวแทนของสตริงตัวอักษรและตัวเลขที่เรียกว่า SID (Security Identifier), Share and NTFS Permissions เชื่อมโยงกับ SID เหล่านี้ สิทธิ์อนุญาตให้ใช้งานร่วมกันจะถูกตรวจสอบโดย LSSAS เฉพาะเมื่อมีการเข้าถึงผ่านเครือข่ายในขณะที่สิทธิ์ NTFS นั้นใช้ได้เฉพาะกับเครื่องโลคอลเท่านั้น ฉันหวังว่าคุณทุกคนจะเข้าใจวิธีการรักษาความปลอดภัยของไฟล์และโฟลเดอร์ใน Windows 7 หากคุณมีคำถามใด ๆ โปรดอย่าลังเลที่จะปิดเสียงในความคิดเห็น.