在Geek School的这个安装中,我们来看看文件夹虚拟化、SIDs和权限,以及加密文件系统。
请务必查看Windows 7上本极客学校系列的前几篇文章:
本周请继续关注本系列的其余部分。
Windows7引入了库的概念,它允许您拥有一个集中的位置,您可以从中查看位于计算机其他位置的资源。更具体地说,“库”功能允许您将计算机上任何位置的文件夹添加到四个默认库(文档、音乐、视频和图片)中的一个,这些库可以从Windows资源管理器的导航窗格轻松访问。
关于库功能,有两件重要的事情需要注意:
要将文件夹添加到库中,只需进入库并单击位置链接。
然后单击添加按钮。
现在找到要包含在库中的文件夹,然后单击“包含文件夹”按钮。
就这些。
Windows操作系统使用sid来表示所有的安全原则。SID只是表示机器、用户和组的字母数字字符的可变长度字符串。每次授予用户或组对文件或文件夹的权限时,都会将SID添加到ACL(访问控制列表)中。在幕后,SID的存储方式与所有其他数据对象相同:二进制。但是,当您在Windows中看到SID时,它将使用更可读的语法显示。在Windows中,您并不经常看到任何形式的SID;最常见的情况是您授予某人对资源的权限,然后删除他们的用户帐户。SID随后将显示在ACL中。让我们看看Windows中sid的典型格式。
您将看到的符号采用特定的语法。下面是SID的不同部分。
在下面的图片中使用我的SID,我们将分解不同的部分以获得更好的理解。
The SID Structure:
‘S’ – The first component of a SID is always an ‘S’. This is prefixed to all SIDs and is there to inform Windows that what follows is a SID. ’1′ – The second component of a SID is the revision number of the SID specification. If the SID specification was to change it would provide backwards compatibility. As of Windows 7 and Server 2008 R2, the SID specification is still in the first revision. ’5′ – The third section of a SID is called the Identifier Authority. This defines in what scope the SID was generated. Possible values for this secti*** of the SID can be:
’21′ – The fourth component is sub-authority 1. The value ’21′ is used in the fourth field to specify that the sub-authorities that follow identify the Local Machine or the Domain. ’1206375286-251249764-2214032401′ – These are called sub-authority 2,3 and 4 respectively. In our example this is used to identify the local machine, but could also be the the identifier for a Domain. ’1000′ – Sub-authority 5 is the last component in our SID and is called the RID (Relative Identifier). The RID is relative to each security principle: please note that any user defined objects, the ones that are not shipped by Microsoft, will have a RID of 1000 or greater.
安全原则是任何附加了SID的东西。它们可以是用户、计算机甚至是组。安全原则可以是本地的,也可以是域上下文中的。您可以通过“计算机管理”下的“本地用户和组”管理单元来管理本地安全原则。要到达那里,右键单击“开始”菜单中的“计算机”快捷方式,然后选择“管理”。
要添加新的用户安全原则,可以转到“用户”文件夹,右键单击并选择“新用户”。
如果双击某个用户,可以将其添加到“成员”选项卡上的安全组中。
要创建新的安全组,请导航到右侧的Groups文件夹。在空白处单击鼠标右键,然后选择“新建组”。
在Windows中,有两种类型的文件和文件夹权限。首先是共享权限。其次,有NTFS权限,也叫安全权限。保护共享文件夹的安全通常是通过共享和NTFS权限的组合来完成的。既然是这样,就必须记住,最严格的许可总是适用的。例如,如果share权限授予Everyone security principle read权限,但NTFS权限允许用户对文件进行更改,则share权限将优先,并且不允许用户进行更改。设置权限时,LSASS(本地安全机构)控制对资源的访问。当您登录时,您将获得一个带有SID的访问令牌。当您访问资源时,LSASS会比较您添加到ACL(访问控制列表)的SID。如果SID在ACL上,它将确定是允许还是拒绝访问。无论您使用什么权限,都存在差异,因此让我们看一看,以便更好地了解何时应该使用什么。
共享权限:
NTFS权限:
Windows7采用了一种新的“轻松”共享技术。选项从Read、Change和Full Control更改为Read和Read/Write。这个想法是整个家庭小组思想的一部分,让不懂电脑的人很容易共享一个文件夹。这是通过上下文菜单完成的,可以轻松地与您的家庭组共享。
如果你想与不在家庭组中的人分享,你可以选择“特定的人…”选项。这样会出现一个更“复杂”的对话框,您可以在其中指定一个用户或组。
如前所述,只有两个权限。它们一起为您的文件夹和文件提供全有或全无保护方案。
旧的“共享”对话框有更多选项,例如在不同别名下共享文件夹的选项。它允许我们限制同时连接的数量以及配置缓存。这些功能在Windows7中都没有丢失,而是隐藏在一个名为“高级共享”的选项下。如果右键单击文件夹并转到其属性,则可以在“共享”选项卡下找到这些“高级共享”设置。
如果单击需要本地管理员凭据的“高级共享”按钮,则可以配置以前版本的Windows中熟悉的所有设置。
如果你点击permissi***按钮,你会看到3个我们都熟悉的设置。
NTFS权限允许对文件和文件夹进行非常精细的控制。尽管如此,对于新手来说,粒度的大小可能会让人望而生畏。您还可以按文件和文件夹设置NTFS权限。要设置文件的NTFS权限,您应该右键单击并转到文件的属性,然后转到安全选项卡。
要编辑用户或组的NTFS权限,请单击“编辑”按钮。
正如您可能看到的,有相当多的NTFS权限,所以让我们来分解它们。首先,我们将了解您可以对文件设置的NTFS权限。
文件夹的NTFS权限有稍微不同的选项,所以让我们看看它们。
总之,用户名和组是称为SID(安全标识符)的字母数字字符串的表示形式。共享和NTFS权限与这些SID绑定。只有在通过网络访问时,lssa才会检查共享权限,而NTFS权限与共享权限相结合,以便为通过网络和本地访问的资源提供更细粒度的安全级别。
既然我们已经了解了在PC上共享内容的两种方法,那么您实际上是如何通过网络访问内容的呢?这很简单。只需在导航栏中键入以下内容。
\\computername\sharename
注意:显然,您需要用computername替换托管共享的PC的名称,用sharename替换共享的名称。
这对于一次性连接来说是很好的,但是在更大的公司环境中呢?当然,您不必教您的用户如何使用此方法连接到网络资源。为了解决这个问题,您需要为每个用户映射一个网络驱动器,这样您就可以建议他们将文档存储在“H”驱动器上,而不是试图解释如何连接到共享。要映射驱动器,请打开计算机并单击“映射网络驱动器”按钮。
然后只需输入共享的UNC路径。
您可能想知道是否必须在每台PC上都这样做,幸运的是答案是否定的。相反,您可以编写一个批处理脚本,在登录时为用户自动映射驱动器,并通过组策略进行部署。
如果我们剖析命令:
Windows包括加密NTFS卷上的文件的功能。这意味着只有您才能解密文件并查看它们。要加密文件,只需右键单击它并从上下文菜单中选择属性。
然后单击高级。
现在选中加密内容以保护数据复选框,然后单击确定。
现在继续应用设置。
我们只需要加密文件,但您也可以选择加密父文件夹。
请注意,一旦文件加密,它就会变成绿色。
现在,您将注意到只有您才能打开该文件,而同一台PC上的其他用户将无法打开该文件。加密过程使用公钥加密,因此请确保加密密钥的安全。如果您丢失了它们,您的文件就不见了,无法恢复。
...详细信息,请参阅我们的隐藏文件指南。 相关:如何在Windows7、8或10中显示隐藏的文件和文件夹 如果以后需要访问它,可以通过单击“文件资源管理器”中的“视图”菜单并选中“隐藏项”框来显示隐藏的文件。(在Windows7中,...
...WindowsVista中为Windows添加了用户帐户控制,现在它仍然在Windows7和Windows8上使用。UAC限制程序在未经您许可的情况下可以执行的操作。 在UAC中使用管理员帐户非常类似于使用有限的用户帐户。程序不只是获得对你的操作系统做任何...
...务管理器: 上面的截图可能有点欺骗性,因为乍一看,Windows7中的任务管理器似乎更有用、信息更丰富。相反,微软对相当经典的任务管理器进行了彻底的改革,并为其添加了更多的功能,以便在windows8中更轻松地进行优先级排...
...的windows10)拥有迄今为止最好的内置任务管理器,但即使windows7的任务管理器也是一个功能强大的工具,每个Windows用户都应该熟悉它。在windows8或windows10上,这些任务中的许多都比较容易。 打开任务管理器 Windows允许您以多种...
Windows7增加了PowerShell,一种比命令提示符更强大的命令行shell和脚本语言。自Windows7以来,PowerShell变得更加突出,它甚至成为Windows10的默认选择。 PowerShell比传统的命令提示符更复杂,但它也更强大。命令提示符明显不如Linux和...
...为我们将同时拥有客户机和服务器,所以我们将这个称为Windows7(客户机),并从下拉列表中选择Windows7操作系统,然后单击next。 下一步你会想分配虚拟机一个体面的内存量,最低是512MB,但由于我有相当多的在我的电脑,我决...
...备份计划,并在执行过程中指出问题所在。 备份窗口 Windows7包含一个实用程序,使您能够创建和恢复备份。对于那些未经初始化的用户,备份允许您将数据的副本存储在其他存储介质(如硬盘、CD、DVD或网络位置)上,从而在...
...态 本周请继续关注本系列的其余部分。 文件夹虚拟化 Windows7引入了库的概念,它允许您拥有一个集中的位置,您可以从中查看位于计算机其他位置的资源。更具体地说,“库”功能允许您将计算机上任何位置的文件夹添加到四...
...:在大多数情况下,默认值是可以接受的。 资源监视器 Windows7资源监视器在一个易于使用的界面中提供了总体CPU、磁盘、网络和内存利用率的快速摘要。您可以将其视为任务管理器的更详细版本。 要打开资源监视器,请按Win+R...
...今天的作业有点超出了70-680考试的范围,但它会让你对从Windows7连接到VPN时幕后发生的事情有一个坚实的了解。 如果你有任何问题,可以发推特给我@taybgibb,或者只留下评论。