Skip to main content

如何理解那些令人困惑的Windows 7文件/共享權限

如何理解那些令人困惑的Windows 7文件/共享權限

Geoffrey Carr

您是否試圖找出Windows中的所有權限?有共享權限,NTFS權限,訪問控制列表等。這是他們如何一起工作的方式。

安全標識符

Windows操作系統使用SID表示所有安全原則。 SID只是可變長度的字母數字字符串,表示機器,用戶和組。每次授予文件或文件夾的用戶或組權限時,SID都會添加到ACL(訪問控制列表)中。在場景後面,SID以與二進製文件相同的方式存儲在所有其他數據對像中。但是,當您在Windows中看到SID時,它將使用更易讀的語法顯示。您通常不會在Windows中看到任何形式的SID,最常見的情況是,當您授予某人某個資源的權限,然後他們的用戶帳戶被刪除時,它將在ACL中顯示為SID。因此,讓我們看一下您將在Windows中看到SID的典型格式。

您將看到的符號採用某種語法,下面是此符號中SID的不同部分。

  1. 'S'前綴
  2. 結構修訂號
  3. 48位標識符權限值
  4. 可變數量的32位子權限或相對標識符(RID)值

在下面的圖像中使用我的SID,我們將分解不同的部分以便更好地理解。

The SID Structure:

‘S’ – The first component of a SID is always an ‘S’. This is prefixed to all SIDs and is there to inform Windows that what follows is a SID. ‘1’ – The second component of a SID is the revision number of the SID specification, if the SID specification was to change it would provide backwards compatibility. As of Windows 7 and Server 2008 R2 the SID specification is still in the first revision. ‘5’ – The third section of a SID is called the Identifier Authority. This defines in what scope the SID was generated. Possible values for this sections of the SID can be:

  1. 0 – Null Authority
  2. 1 – World Authority
  3. 2 – Local Authority
  4. 3 – Creator Authority
  5. 4 – Non-unique Authority
  6. 5 – NT Authority

’21’ – The forth component is sub-authority 1, the value ’21’ is used in the forth field to specify that the sub-authorities that follow identify the Local Machine or the Domain. ‘1206375286-251249764-2214032401’ – These are called sub-authority 2,3 and 4 respectively. In our example this is used to identify the local machine, but could also be the the identifier for a Domain. ‘1000’ – Sub-authority 5 is the last component in our SID and is called the RID (Relative Identifier), the RID is relative to each security principle, please note that any user defined objects, the ones that are not shipped by Microsoft will have a RID of 1000 or greater.

安全原則

安全原則是任何附加了SID的東西,它們可以是用戶,計算機甚至是組。安全原則可以是本地的,也可以是域上下文。您可以通過計算機管理下的“本地用戶和組”管理單元管理本地安全原則。右鍵單擊開始菜單中的計算機快捷方式,然後選擇管理。

要添加新的用戶安全性原則,您可以轉到users文件夾並右鍵單擊並選擇新用戶。

如果雙擊用戶,可以將其添加到“成員”選項卡上的“安全組”中。

要創建新的安全組,請導航到右側的“組”文件夾。右鍵單擊空白區域並選擇新組。

共享權限和NTFS權限

在Windows中,有兩種​​類型的文件和文件夾權限,首先是共享權限,其次是NTFS權限,也稱為安全權限。請注意,默認情況下共享文件夾時,“Everyone”組將獲得讀取權限。文件夾上的安全性通常使用共享和NTFS權限的組合來完成,如果是這種情況,必須記住最嚴格的限制始終適用,例如,如果共享權限設置為Everyone = Read(這是默認值),但NTFS權限允許用戶對文件進行更改,共享權限將優先,並且不允許用戶進行更改。設置權限時,LSASS(本地安全機構)控制對資源的訪問。當您登錄時,您將獲得一個帶有SID的訪問令牌,當您訪問該資源時,LSASS將您添加到ACL(訪問控制列表)的SID與ACL中的SID進行比較,它確定是否要允許或拒絕訪問。無論你使用什麼權限都有差異,所以讓我們看一看,以便更好地理解何時應該使用什麼。

分享權限:

  1. 僅適用於通過網絡訪問資源的用戶。如果您在本地登錄(例如通過終端服務),則不適用。
  2. 它適用於共享資源中的所有文件和文件夾。如果要提供更細粒度的限制方案,除共享權限外,還應使用NTFS權限
  3. 如果您有任何FAT或FAT32格式的捲,這將是您可以使用的唯一限制形式,因為NTFS權限在這些文件系統上不可用。

NTFS權限:

  1. NTFS權限的唯一限制是它們只能在格式化為NTFS文件系統的捲上設置
  2. 請記住,NTFS是累積的,這意味著用戶的有效權限是將用戶分配的權限與用戶所屬的任何組的權限相結合的結果。

新股份權限

Windows 7採用了新的“簡單”共享技術。選項從“讀取”,“更改”和“完全控制”更改為。讀和讀/寫。這個想法是整個家庭組心態的一部分,並且可以輕鬆地為非計算機文化人員共享一個文件夾。這可以通過上下文菜單完成,並輕鬆與您的家庭組共享。

如果您想與不在家庭組中的人分享,您可以隨時選擇“特定人...”選項。這將帶來一個更“精心設計”的對話。您可以在哪裡指定特定用戶或組。

如前所述,只有兩個權限,它們一起為您的文件夾和文件提供全有或全無保護方案。

  1. Read permission is the “look, don’t touch” option. Recipients can open, but not modify or delete a file.
  2. Read/Write is the “do anything” option. Recipients can open, modify, or delete a file.

老派的方式

舊共享對話框有更多選項,並為我們提供了在不同別名下共享文件夾的選項,它允許我們限制同時連接的數量以及配置緩存。這些功能都不會在Windows 7中丟失,而是隱藏在名為“高級共享”的選項下。如果右鍵單擊文件夾並轉到其屬性,則可以在共享選項卡下找到這些“高級共享”設置。

如果單擊“高級共享”按鈕(需要本地管理員憑據),則可以配置在以前版本的Windows中熟悉的所有設置。

如果您單擊權限按鈕,您將看到我們熟悉的3個設置。

  1. Read permission allows you to view and open files and subdirectories as well as execute applications. However it doesn’t allow any changes to be made.
  2. Modify permission allows you to do anything that Read permission allows, it also add the ability to add files and subdirectories, delete subfolders and change data in the files.
  3. Full Control is the “do anything” of the classic permissions, as it allows for you to do any and all of the previous permissions. In addition it gives you the advanced changing NTFS Permission, this only applies on NTFS Folders

NTFS權限

NTFS權限允許對文件和文件夾進行非常精細的控制。據說,對於新手而言,粒度可能是令人生畏的。您還可以基於每個文件以及每個文件夾設置NTFS權限。要在文件上設置NTFS權限,您應該右鍵單擊並轉到文件屬性,您需要轉到安全選項卡。

要編輯用戶或組的NTFS權限,請單擊編輯按鈕。

您可能會看到有很多NTFS權限,所以讓我們分解它們。首先,我們將了解您可以在文件上設置的NTFS權限。

  1. Full Control allows you to read, write, modify, execute, change attributes, permissions, and take ownership of the file.
  2. Modify allows you to read, write, modify, execute, and change the file’s attributes.
  3. Read & Execute will allow you to display the file’s data, attributes, owner, and permissions, and run the file if its a program.
  4. Read will allow you to open the file, view its attributes, owner, and permissions.
  5. Write will allow you to write data to the file, append to the file, and read or change its attributes.

NTFS文件夾的權限有不同的選項,所以讓我們來看看它們。

  1. Full Control allows you to read, write, modify, and execute files in the folder, change attributes, permissions, and take ownership of the folder or files within.
  2. Modify allows you to read, write, modify, and execute files in the folder, and change attributes of the folder or files within.
  3. Read & Execute will allow you to display the folder’s contents and display the data, attributes, owner, and permissions for files within the folder, and run files within the folder.
  4. List Folder Contents will allow you to display the folder’s contents and display the data, attributes, owner, and permissions for files within the folder.
  5. Read will allow you to display the file’s data, attributes, owner, and permissions.
  6. Write will allow you to write data to the file, append to the file, and read or change its attributes.

Microsoft的文檔還指出“列出文件夾內容”將允許您執行文件夾中的文件,但是您仍然需要啟用“讀取和執行”才能執行此操作。這是一個非常容易混淆的文檔許可。

摘要

總之,用戶名和組是稱為SID(安全標識符)的字母數字字符串的表示,共享和NTFS權限與這些SID相關聯。僅當通過網絡訪問時,LSSAS才會檢查共享權限,而NTFS權限僅在本地計算機上有效。我希望大家對Windows 7中的文件和文件夾安全性的實現有充分的了解。如果您有任何問題,請隨時在評論中發出聲音。

Link
Plus
Send
Send
Pin