你有沒有試過找出Windows中的所有許可權?有共享許可權、NTFS許可權、訪問控制列表等等。以下是它們如何協同工作。
Windows作業系統使用sid來表示所有安全主體。SID只是表示機器、使用者和組的字母數字字元的可變長度字串。每次授予使用者或組對檔案或資料夾的許可權時,都會將SID新增到ACL(訪問控制列表)中。在場景後面,SID的儲存方式與所有其他資料物件的儲存方式相同,都是二進位制的。但是,當您在Windows中看到SID時,它將使用更可讀的語法顯示。在Windows中,您並不經常看到任何形式的SID,最常見的情況是,當您授予某人對資源的許可權,然後他們的使用者帳戶被刪除,它將在ACL中顯示為SID。讓我們看看Windows中sid的典型格式。
您將看到的符號採用特定的語法,下面是這個符號中SID的不同部分。
在下面的圖片中使用我的SID,我們將分解不同的部分以獲得更好的理解。
The SID Structure:
‘S’ – The first component of a SID is always an ‘S’. This is prefixed to all SIDs and is there to inform Windows that what follows is a SID. ‘1’ – The second component of a SID is the revision number of the SID specification, if the SID specification was to change it would provide backwards compatibility. As of Windows 7 and Server 2008 R2 the SID specification is still in the first revision. ‘5’ – The third section of a SID is called the Identifier Authority. This defines in what scope the SID was generated. Possible values for this secti*** of the SID can be:
’21’ – The forth component is sub-authority 1, the value ’21’ is used in the forth field to specify that the sub-authorities that follow identify the Local Machine or the Domain. ‘1206375286-251249764-2214032401’ – These are called sub-authority 2,3 and 4 respectively. In our example this is used to identify the local machine, but could also be the the identifier for a Domain. ‘1000’ – Sub-authority 5 is the last component in our SID and is called the RID (Relative Identifier), the RID is relative to each security principal, please note that any user defined objects, the ones that are not shipped by Microsoft will have a RID of 1000 or greater.
安全主體是任何附加了SID的東西,可以是使用者、計算機甚至組。安全主體可以是本地的,也可以在域上下文中。您可以透過“計算機管理”下的“本地使用者和組”管理單元來管理本地安全主體。要到達那裡,請右鍵單擊“開始”選單中的“計算機”快捷方式,然後選擇“管理”。
要新增新的使用者安全主體,可以轉到“使用者”資料夾,右鍵單擊並選擇“新使用者”。
如果雙擊某個使用者,可以將其新增到“成員”選項卡上的安全組中。
要建立新的安全組,請導航到右側的Groups資料夾。在空白處單擊滑鼠右鍵,然後選擇“新建組”。
在Windows中,有兩種型別的檔案和資料夾許可權,第一種是共享許可權,第二種是NTFS許可權,也稱為安全許可權。請注意,在預設情況下共享資料夾時,“Everyone”組具有讀取許可權。資料夾的安全性通常是透過共享和NTFS許可權的組合來實現的如果是這種情況,必須記住最嚴格的限制總是適用的,例如,如果共享許可權設定為Everyone=Read(這是預設值),但NTFS許可權允許使用者對檔案進行更改,共享許可權將優先考慮,並且不允許使用者進行更改。設定許可權時,LSASS(本地安全機構)控制對資源的訪問。當您登入時,系統會給您一個帶有SID的訪問令牌,當您訪問資源時,LSASS會比較您新增到ACL(訪問控制列表)的SID,如果SID在ACL上,它會決定是允許還是拒絕訪問。無論您使用什麼許可權,都存在差異,因此讓我們看看,以便更好地瞭解何時應該使用什麼。
共享許可權:
NTFS許可權:
Windows7採用了一種新的“輕鬆”共享技術。選項從讀取、更改和完全控制更改為。讀和讀/寫。這個想法是整個家庭小組思想的一部分,讓不懂電腦的人很容易共享一個資料夾。這是透過上下文選單完成的,並與您的家庭組輕鬆共享。
如果你想與不在家庭組中的人分享,你可以選擇“特定的人…”選項。這會帶來一個更“複雜”的對話。您可以在其中指定特定的使用者或組。
如前所述,只有兩種許可權,它們一起為您的資料夾和檔案提供全有或全無保護方案。
舊的共享對話方塊有更多的選項,並給了我們在不同別名下共享資料夾的選項,它允許我們限制同時連線的數量以及配置快取。這些功能在Windows7中都沒有丟失,而是隱藏在一個名為“高階共享”的選項下。如果右鍵單擊資料夾並轉到其屬性,則可以在“共享”選項卡下找到這些“高階共享”設定。
如果單擊需要本地管理員憑據的“高階共享”按鈕,則可以配置以前版本的Windows中熟悉的所有設定。
如果你點選permissi***按鈕,你會看到3個我們都熟悉的設定。
NTFS許可權允許對檔案和資料夾進行非常精細的控制。儘管如此,對於新手來說,粒度的大小可能會讓人望而生畏。您還可以按檔案和資料夾設定NTFS許可權。要設定檔案的NTFS許可權,您應該右鍵單擊並轉到需要轉到“安全”選項卡的“檔案屬性”。
要編輯使用者或組的NTFS許可權,請單擊“編輯”按鈕。
正如您可能看到的,有相當多的NTFS許可權,所以讓我們來分解它們。首先,我們將瞭解您可以對檔案設定的NTFS許可權。
資料夾的NTFS許可權有稍微不同的選項,所以讓我們看看它們。
Microsoft的文件還宣告,“列出資料夾內容”將允許您執行資料夾中的檔案,但您仍然需要啟用“讀取和執行”才能執行。這是一個非常混亂的檔案許可。
總之,使用者名稱和組是一個稱為SID(安全識別符號)的字母數字字串的表示形式,共享和NTFS許可權與這些SID繫結。共享許可權僅在透過網路訪問時由LSSA檢查,而NTFS許可權僅在本地計算機上有效。我希望大家對Windows7中檔案和資料夾的安全性有一個很好的理解。如果您有任何問題,請隨時在評論中發表意見。
... 家庭組功能於2009年隨著Windows7的釋出而推出。但它起源於2001年的windowsxp。 ...
...或者是別的什麼問題?我們將解開這個謎團,並向您展示如何在Mac上使用磁碟許可權。 ...
...權的人才能訪問儲存的密碼,那麼那些沒有該許可權的人如何更改他們的密碼? 提升你的地位 通常,Linux命令和程式執行時與啟動程式的人具有相同的許可權集。當root執行passwd命令以更改密碼時,它將以root的許可權執行。這意...
...果您嘗試使用它,系統將提示您啟用位置服務。 相關:如何使用Snapchat:傳送快照和訊息的基礎知識 基本的過濾器在沒有位置的情況下也是不可用的,這有點奇怪。可以理解的是,基於位置的地理過濾器和任何使用位置資料(...
...視窗並將“啟動型別”設定為“禁用” 如果您使用的是Windows7,那麼就可以禁用家庭組功能並將其從檔案資源管理器視窗中刪除。事實上,一旦您停止並禁用“家庭組提供程式”服務,家庭組將從Windows7的檔案資源管理器中消失...
...月的更新中刪除了Windows10的家庭組功能。如果您使用的是Windows7或Windows8,您仍然可以使用家庭組,但是執行Windows10的計算機(至少有最新的更新)無法訪問家庭組,除非您還設定了傳統的檔案共享。 家庭組在Windows7中首次出現...
Windows7提供了一種新的檔案和列印共享方法,這與早期版本的Windows中令人沮喪的檔案和列印共享不同。它是什麼?你如何從中受益?請繼續閱讀我們的解釋。 家庭組是從Windows7開始的Windows生態系統的新版本。他們的目的是(併...
...來賓帳戶並在完成後解鎖主使用者帳戶的桌面會話。 在Windows7和Windows8中,預設情況下禁用來賓帳戶。要使用Guest帳戶,您需要從控制面板的使用者帳戶螢幕啟用它。為此,請在“控制面板”中選擇“使用者帳戶”,單擊“更改...
...應用程式。 app connector及其許可權似乎並不重要 相關:如何解除安裝Windows10的內建應用(以及如何重新安裝) 令人困惑的是,儘管這些許可權在預設情況下是啟用的,但它們似乎並沒有真正起到任何作用(至少我們可以找到)...