Cara Memahami Mereka Yang Membingungkan Izin File / Berbagi Windows 7

Pernahkah Anda mencoba mencari tahu semua izin di Windows? Ada izin berbagi, izin NTFS, daftar kontrol akses, dan banyak lagi. Begini cara mereka bekerja bersama.

Pengidentifikasi Keamanan

Sistem Operasi Windows menggunakan SID untuk mewakili semua prinsip keamanan. SID hanyalah rangkaian panjang variabel karakter alfanumerik yang mewakili mesin, pengguna, dan grup. SID ditambahkan ke ACL (Access Control Lists) setiap kali Anda memberikan izin pengguna atau grup ke file atau folder. Di belakang layar, SID disimpan dengan cara yang sama dengan semua objek data lainnya, dalam bentuk biner. Namun ketika Anda melihat SID di Windows, itu akan ditampilkan menggunakan sintaks yang lebih mudah dibaca. Jarang Anda melihat bentuk SID di Windows, skenario yang paling umum adalah ketika Anda memberikan seseorang izin ke sumber daya, lalu akun pengguna mereka dihapus, kemudian akan ditampilkan sebagai SID di ACL. Jadi mari kita lihat format khas di mana Anda akan melihat SID di Windows.

Notasi yang akan Anda lihat menggunakan sintaks tertentu, di bawah ini adalah bagian yang berbeda dari SID dalam notasi ini.

1. Awalan 'S'
2. Nomor revisi struktur
3. Nilai otoritas pengidentifikasi 48-bit
4. Sejumlah variabel nilai sub-otoritas 32-bit atau pengenal relatif (RID)

Menggunakan SID saya pada gambar di bawah ini kami akan memecah bagian yang berbeda untuk mendapatkan pemahaman yang lebih baik.

Struktur SID:

'S' - Komponen pertama SID selalu merupakan 'S'. Ini diawali untuk semua SID dan ada di sana untuk memberi tahu Windows bahwa yang berikut adalah SID.
'1' - Komponen kedua SID adalah nomor revisi dari spesifikasi SID, jika spesifikasi SID diubah, itu akan memberikan kompatibilitas ke belakang. Pada Windows 7 dan Server 2008 R2 spesifikasi SID masih dalam revisi pertama.
'5' - Bagian ketiga SID disebut Otoritas Pengidentifikasi. Ini mendefinisikan dalam lingkup apa SID dihasilkan. Nilai yang mungkin untuk bagian SID ini dapat berupa:

1. 0 - Null Authority
2. 1 - Otoritas Dunia
3. 2 - Otoritas Lokal
4. 3 - Otoritas Pencipta
5. 4 - Otoritas Non-unik
6. 5 - Otoritas NT

'21' - Komponen keempat adalah sub-otoritas 1, nilai '21' digunakan di bidang sebagainya untuk menentukan bahwa sub-otoritas yang mengikuti mengidentifikasi Mesin Lokal atau Domain.
'1206375286-251249764-2214032401' - Ini masing-masing disebut sub-otoritas 2,3 dan 4. Dalam contoh kami ini digunakan untuk mengidentifikasi mesin lokal, tetapi juga bisa menjadi pengidentifikasi untuk Domain.
'1000' - Sub-otoritas 5 adalah komponen terakhir dalam SID kami dan disebut RID (Relative Identifier), RID relatif terhadap setiap prinsip keamanan, harap dicatat bahwa objek apa pun yang ditentukan pengguna, yang tidak dikirim oleh Microsoft akan memiliki RID 1000 atau lebih besar.

Prinsip Keamanan

Prinsip keamanan adalah segala sesuatu yang memiliki SID yang melekat padanya, ini dapat berupa pengguna, komputer dan bahkan grup. Prinsip keamanan dapat bersifat lokal atau berada dalam konteks domain. Anda mengelola prinsip keamanan lokal melalui snap-in Pengguna dan Grup Lokal, di bawah manajemen komputer. Untuk sampai di sana, klik kanan pada pintasan komputer di menu mulai dan pilih kelola.

Untuk menambahkan prinsip keamanan pengguna baru Anda dapat pergi ke folder pengguna dan klik kanan dan pilih pengguna baru.

Jika Anda mengklik dua kali pada pengguna, Anda dapat menambahkannya ke Grup Keamanan pada tab Anggota.

Untuk membuat grup keamanan baru, navigasikan ke folder Grup di sebelah kanan. Klik kanan pada ruang putih dan pilih grup baru.

Izin Berbagi dan Izin NTFS

Di Windows ada dua jenis izin file dan folder, pertama ada Izin Berbagi dan kedua Izin NTFS juga disebut Izin Keamanan. Perhatikan bahwa ketika Anda berbagi folder secara default, grup "Semua Orang" diberi izin baca. Keamanan pada folder biasanya dilakukan dengan kombinasi Izin Share dan NTFS jika ini kasusnya, penting untuk diingat bahwa yang paling ketat selalu berlaku, misalnya jika izin berbagi diatur ke Semua Orang = Baca (yang merupakan default), tetapi Izin NTFS memungkinkan pengguna untuk membuat perubahan pada file, Izin Saham akan memilih dan pengguna tidak akan diizinkan untuk membuat perubahan. Saat Anda mengatur izin, LSASS (Otoritas Keamanan Lokal) mengontrol akses ke sumber daya. Ketika Anda masuk Anda diberi token akses dengan SID Anda di atasnya, ketika Anda pergi untuk mengakses sumber daya LSASS membandingkan SID yang Anda tambahkan ke ACL (Access Control List) dan jika SID ada di ACL itu menentukan apakah akan izinkan atau tolak akses. Apa pun izin yang Anda gunakan, ada perbedaan, jadi mari kita lihat untuk mendapatkan pemahaman yang lebih baik tentang kapan kita harus menggunakan apa.

Bagikan Izin:

1. Hanya berlaku untuk pengguna yang mengakses sumber daya melalui jaringan. Mereka tidak berlaku jika Anda masuk secara lokal, misalnya melalui layanan terminal.
2. Ini berlaku untuk semua file dan folder di sumber daya bersama. Jika Anda ingin memberikan skema pembatasan yang lebih terperinci, Anda harus menggunakan Izin NTFS di samping izin bersama
3. Jika Anda memiliki volume yang diformat FAT atau FAT32, ini akan menjadi satu-satunya bentuk pembatasan yang tersedia untuk Anda, karena Izin NTFS tidak tersedia pada sistem file tersebut.

Izin NTFS:

1. Satu-satunya batasan pada Izin NTFS adalah bahwa mereka hanya dapat diatur pada volume yang diformat ke sistem file NTFS
2. Ingat bahwa NTFS bersifat kumulatif yang berarti bahwa izin yang efektif bagi pengguna adalah hasil dari menggabungkan izin yang ditugaskan pengguna dan izin dari grup mana pun yang menjadi milik pengguna..

Izin Share Baru

Windows 7 membeli bersama teknik berbagi “mudah” yang baru. Opsi berubah dari Baca, Ubah dan Kontrol Penuh ke. Baca dan Baca / Tulis. Idenya adalah bagian dari mentalitas seluruh grup Home dan membuatnya mudah membagikan folder untuk orang yang tidak paham komputer. Ini dilakukan melalui menu konteks dan bagikan dengan grup rumah Anda dengan mudah.

Jika Anda ingin berbagi dengan seseorang yang tidak ada di grup asal Anda selalu dapat memilih opsi "Orang tertentu ...". Yang akan memunculkan dialog yang lebih "rumit". Di mana Anda dapat menentukan pengguna atau grup tertentu.

Hanya ada dua izin seperti yang disebutkan sebelumnya, bersama-sama mereka menawarkan skema perlindungan semua atau tidak sama sekali untuk folder dan file Anda.

1. Baca baca izin adalah opsi "lihat, jangan sentuh". Penerima dapat membuka, tetapi tidak mengubah atau menghapus file.
2. Baca tulis adalah opsi "lakukan apa saja". Penerima dapat membuka, mengubah, atau menghapus file.

Jalan Sekolah Lama

Dialog berbagi lama memiliki lebih banyak opsi dan memberi kami opsi untuk berbagi folder di bawah alias yang berbeda, memungkinkan kami untuk membatasi jumlah koneksi simultan serta mengkonfigurasi caching. Tidak satu pun dari fungsi ini yang hilang di Windows 7 melainkan disembunyikan di bawah opsi yang disebut "Berbagi Lanjut". Jika Anda mengklik kanan pada folder dan pergi ke propertinya Anda dapat menemukan pengaturan "Berbagi Lanjutan" di bawah tab berbagi.

Jika Anda mengklik tombol "Berbagi Lanjut", yang memerlukan kredensial administrator lokal, Anda dapat mengonfigurasi semua pengaturan yang Anda kenal di versi Windows sebelumnya.

Jika Anda mengklik tombol izin Anda akan disajikan dengan 3 pengaturan yang kita semua kenal.

1. Baca baca izin memungkinkan Anda untuk melihat dan membuka file dan subdirektori serta menjalankan aplikasi. Namun itu tidak memungkinkan dilakukannya perubahan.
2. Memodifikasi izin memungkinkan Anda melakukan apa pun itu Baca baca izin memungkinkan, itu juga menambah kemampuan untuk menambahkan file dan subdirektori, menghapus subfolder dan mengubah data dalam file.
3. Kontrol penuh adalah "melakukan apa saja" dari izin klasik, karena memungkinkan Anda untuk melakukan semua dan semua izin sebelumnya. Selain itu memberi Anda Izin NTFS perubahan canggih, ini hanya berlaku pada Folder NTFS

Izin NTFS

Izin NTFS memungkinkan untuk kontrol yang sangat rinci atas file dan folder Anda. Dengan mengatakan jumlah granularity dapat menakutkan bagi pendatang baru. Anda juga dapat mengatur izin NTFS pada basis per file dan basis per folder. Untuk mengatur Izin NTFS pada file Anda harus mengklik kanan dan pergi ke properti file di mana Anda harus pergi ke tab keamanan.

Untuk mengedit Izin NTFS untuk Pengguna atau Grup, klik tombol edit.

Seperti yang Anda lihat ada cukup banyak Izin NTFS jadi mari kita jatuhkan. Pertama kita akan melihat Izin NTFS yang dapat Anda atur pada file.

1. Kontrol penuh memungkinkan Anda membaca, menulis, memodifikasi, mengeksekusi, mengubah atribut, izin, dan mengambil kepemilikan file.
2. Memodifikasi memungkinkan Anda membaca, menulis, memodifikasi, mengeksekusi, dan mengubah atribut file.
3. Baca & Jalankan akan memungkinkan Anda untuk menampilkan data file, atribut, pemilik, dan izin, dan menjalankan file jika ini sebuah program.
4. Baca baca akan memungkinkan Anda untuk membuka file, melihat atribut, pemilik, dan izinnya.
5. Menulis akan memungkinkan Anda untuk menulis data ke file, menambahkan ke file, dan membaca atau mengubah atributnya.

Izin NTFS untuk folder memiliki opsi yang sedikit berbeda jadi mari kita melihatnya.

1. Kontrol penuh memungkinkan Anda membaca, menulis, memodifikasi, dan mengeksekusi file dalam folder, mengubah atribut, izin, dan mengambil kepemilikan folder atau file dalam.
2. Memodifikasi memungkinkan Anda membaca, menulis, memodifikasi, dan mengeksekusi file di folder, dan mengubah atribut folder atau file di dalamnya.
3. Baca & Jalankan akan memungkinkan Anda untuk menampilkan konten folder dan menampilkan data, atribut, pemilik, dan izin untuk file di dalam folder, dan menjalankan file di dalam folder.
4. Daftar Isi Folder akan memungkinkan Anda untuk menampilkan konten folder dan menampilkan data, atribut, pemilik, dan izin untuk file di dalam folder.
5. Baca baca akan memungkinkan Anda untuk menampilkan data file, atribut, pemilik, dan izin.
6. Menulis akan memungkinkan Anda untuk menulis data ke file, menambahkan ke file, dan membaca atau mengubah atributnya.

Dokumentasi Microsoft juga menyatakan bahwa "Daftar Isi Folder" akan memungkinkan Anda mengeksekusi file di dalam folder, tetapi Anda masih harus mengaktifkan "Baca & Jalankan" untuk melakukannya. Itu izin yang sangat membingungkan.

Ringkasan

Singkatnya, nama pengguna dan grup adalah representasi dari string alfanumerik yang disebut SID (Pengidentifikasi Keamanan), Izin Share dan NTFS terkait dengan SID ini. Izin Berbagi diperiksa oleh LSSAS hanya ketika diakses melalui jaringan, sedangkan Izin NTFS hanya berlaku pada mesin lokal. Saya harap Anda semua memiliki pemahaman yang baik tentang bagaimana keamanan file dan folder di Windows 7 diimplementasikan. Jika Anda memiliki pertanyaan, jangan ragu untuk memberikan komentar.