그 혼란스러운 Windows 7 파일 / 공유 사용 권한을 이해하는 방법

Windows에서 모든 권한을 알아 내려고 시도한 적이 있습니까? 공유 사용 권한, NTFS 사용 권한, 액세스 제어 목록 등이 있습니다. 서로 협력하는 방법은 다음과 같습니다..

보안 식별자

Windows 운영 체제는 SID를 사용하여 모든 보안 원칙을 나타냅니다. SID는 기계, 사용자 및 그룹을 나타내는 가변 길이의 영숫자 문자열입니다. SID는 사용자 나 그룹에게 파일이나 폴더에 대한 사용 권한을 부여 할 때마다 ACL (액세스 제어 목록)에 추가됩니다. 장면 뒤에는 SID가 다른 모든 데이터 개체와 동일한 방식으로 이진 형식으로 저장됩니다. 그러나 Windows에서 SID를 볼 때 더 읽기 쉬운 구문을 사용하여 표시됩니다. Windows에서 SID 형식을 자주 볼 수있는 것은 아니지만 가장 일반적인 시나리오는 누군가가 리소스에 대한 사용 권한을 부여한 다음 해당 사용자 계정이 삭제 된 후 ACL에 SID로 표시된다는 것입니다. Windows에서 SID를 볼 수있는 일반적인 형식을 살펴 봅니다..

당신이 보게 될 표기법은이 표기법에서 SID의 다른 부분들입니다.

1. 'S'접두사
2. 구조 개정 번호
3. 48 비트 식별자 권한 값
4. 가변 개수의 32 비트 하위 권한 또는 상대 식별자 (RID) 값

아래 이미지에서 내 SID를 사용하면 더 나은 이해를 위해 여러 섹션을 구분할 것입니다..

SID 구조 :

'에스' - SID의 첫 번째 구성 요소는 항상 'S'입니다. 이것은 모든 SID에 접두사가 붙으며 Windows에 다음에 오는 것이 SID라는 것을 알리기 위해 있습니다.
'1' - SID의 두 번째 구성 요소는 SID 사양의 개정 번호입니다. SID 사양을 변경하려는 경우 이전 버전과의 호환성을 제공합니다. Windows 7 및 Server 2008 R2에서 SID 사양은 여전히 ​​첫 번째 수정 버전입니다..
'5' - SID의 세 번째 섹션은 Identifier Authority입니다. 이것은 SID가 생성 된 범위를 정의합니다. SID의이 섹션에 가능한 값은 다음과 같습니다.

1. 0 - 널 권한
2. 1 - 세계 당국
3. 2 - 지방 당국
4. 3 - 제작자 권한
5. 4 - 고유하지 않은 기관
6. 5 - NT 권위

'21' - 네 번째 구성 요소는 하위 권한 1이고, '21'값은 네 번째 필드에서 사용되어 다음에 나오는 하위 권한이 로컬 시스템 또는 도메인을 식별하도록 지정합니다.
'1206375286-251249764-2214032401' - 이를 각각 하위 권한 2,3 및 4라고합니다. 이 예에서는 로컬 시스템을 식별하는 데 사용되지만 도메인의 식별자 일 수도 있습니다.
'1000' - 하위 권한 5는 SID의 마지막 구성 요소이며 RID (Relative Identifier)라고하며 RID는 각 보안 원칙과 관련이 있습니다. Microsoft에서 제공하지 않는 사용자 정의 개체는 RID 1000 이상.

보안 원칙

보안 원칙은 SID가 첨부 된 모든 것으로 사용자, 컴퓨터 및 그룹 일 수 있습니다. 보안 원칙은 로컬 일 수도 있고 도메인 컨텍스트 일 ​​수도 있습니다. 컴퓨터 관리에서 로컬 사용자 및 그룹 스냅인을 통해 로컬 보안 원칙을 관리합니다. 시작 메뉴에서 바로 가기를 마우스 오른쪽 버튼으로 클릭하고 관리를 선택하십시오..

새로운 사용자 보안 원칙을 추가하려면 사용자 폴더로 이동하여 마우스 오른쪽 버튼을 클릭하고 새 사용자를 선택하십시오.

사용자를 두 번 클릭하면 소속 그룹 탭의 보안 그룹에 추가 할 수 있습니다.

새 보안 그룹을 만들려면 오른쪽 그룹 폴더로 이동하십시오. 공백을 마우스 오른쪽 버튼으로 클릭하고 새 그룹을 선택하십시오..

공유 사용 권한 및 NTFS 사용 권한

Windows에는 두 가지 유형의 파일 및 폴더 사용 권한이 있으며 먼저 공유 사용 권한이 있으며 두 번째로 보안 사용 권한이라고도하는 NTFS 사용 권한이 있습니다. 기본적으로 폴더를 공유하면 "Everyone"그룹에 읽기 권한이 부여됩니다. 폴더의 보안은 일반적으로 공유 및 NTFS 사용 권한의 조합으로 수행됩니다.이 경우 공유 권한이 Everyone = Read (기본값)로 설정된 경우와 같이 가장 제한적인 항목이 항상 적용된다는 점을 기억해야합니다. 그러나 NTFS 사용 권한은 사용자가 파일을 변경할 수 있도록 허용하며 공유 사용 권한이 우선하며 사용자는 변경할 수 없습니다. 사용 권한을 설정하면 LSASS (로컬 보안 권한)가 리소스에 대한 액세스를 제어합니다. 로그온 할 때 SID가 포함 된 액세스 토큰이 주어지면 리소스에 액세스 할 때 LSASS는 ACL (액세스 제어 목록)에 추가 한 SID를 비교하고 SID가 ACL에 있는지 여부를 결정합니다 액세스를 허용하거나 거부합니다. 사용 권한에 상관없이 차이점이 있으므로 무엇을 사용해야하는지 더 잘 이해할 수 있습니다..

공유 권한 :

1. 네트워크를 통해 리소스에 액세스하는 사용자에게만 적용됩니다. 터미널 서비스를 통해 로컬로 로그온하는 경우에는 적용되지 않습니다..
2. 공유 리소스의 모든 파일과 폴더에 적용됩니다. 보다 세부적인 종류의 제한 스키마를 제공하려면 공유 사용 권한 외에도 NTFS 사용 권한을 사용해야합니다
3. FAT 또는 FAT32 형식의 볼륨이있는 경우 해당 파일 시스템에서 NTFS 사용 권한을 사용할 수 없으므로이 형식이 유일한 제한 사항입니다.

NTFS 사용 권한 :

1. NTFS 사용 권한에 대한 유일한 제한은 NTFS 파일 시스템으로 포맷 된 볼륨에서만 설정할 수 있다는 것입니다
2. NTFS는 누적됩니다. 즉, 사용자 유효 사용 권한은 사용자가 할당 한 사용 권한과 사용자가 속한 그룹의 사용 권한을 결합한 결과입니다..

새 공유 사용 권한

Windows 7은 새로운 "쉬운"공유 기술을 통해 구입했습니다. 옵션이 읽기, 변경 및 모든 권한에서로 변경되었습니다. 읽기 및 읽기 / 쓰기. 이 아이디어는 전체 홈 그룹 사고 방식의 일부 였고 컴퓨터를 사용하지 않는 사람들을위한 폴더를 쉽게 공유 할 수있게 해줍니다. 이 작업은 컨텍스트 메뉴를 통해 수행되며 집 그룹과 쉽게 공유됩니다..

가정 그룹에 속하지 않은 사람과 공유하고 싶다면 항상 "특정 사람들 ..."옵션을 선택할 수 있습니다. 그러면 더 "정교한"대화가 생깁니다. 특정 사용자 또는 그룹을 지정할 수있는 위치.

앞에서 언급 한 두 가지 권한 만 있으면 함께 폴더 또는 파일에 대한 보호 스키마를 제공합니다.

1. 독서 권한은 "보기, 만지지 마세요"옵션입니다. 받는 사람은 파일을 열 수는 있지만 수정 또는 삭제할 수는 없습니다..
2. 읽기 / 쓰기 "do anything"옵션입니다. 받는 사람은 파일을 열거 나 수정하거나 삭제할 수 있습니다..

올드 스쿨 웨이

이전 공유 대화 상자에는 더 많은 옵션이 있었고 다른 별칭으로 폴더를 공유 할 수있는 옵션이 주어져서 동시 연결 수를 제한하고 캐싱을 구성 할 수있었습니다. 이 기능 중 Windows 7에서는 손실되지 않지만 "고급 공유"라는 옵션에서는 숨겨져 있습니다. 폴더를 마우스 오른쪽 버튼으로 클릭하고 해당 속성으로 이동하면 공유 탭에서 이러한 "고급 공유"설정을 찾을 수 있습니다.

로컬 관리자 자격 증명이 필요한 "고급 공유"버튼을 클릭하면 이전 버전의 Windows에서 익숙한 모든 설정을 구성 할 수 있습니다.

권한 버튼을 클릭하면 친숙한 세 가지 설정이 표시됩니다..

1. 독서 권한을 사용하면 파일 및 하위 디렉토리를보고 열거 나 응용 프로그램을 실행할 수 있습니다. 그러나 변경을 허용하지 않습니다..
2. 수정 허락은 당신이 독서 권한이 허용되면 파일 및 하위 디렉토리를 추가하고 하위 폴더를 삭제하며 파일의 데이터를 변경하는 기능이 추가됩니다.
3. 완전한 통제하에있는 이전 사용 권한을 모두 수행 할 수 있으므로 고전적인 사용 권한의 "수행 할 작업"입니다. 또한 고급 NTFS 권한 변경 권한을 제공하며 NTFS 폴더에만 적용됩니다.

NTFS 사용 권한

NTFS 사용 권한은 파일 및 폴더에 대한 매우 세부적인 제어를 허용합니다. 그것으로 세분화 된 양은 신참에게 위협이 될 수 있습니다. 폴더 단위로뿐만 아니라 파일 단위로 NTFS 권한을 설정할 수도 있습니다. 파일에 NTFS 권한을 설정하려면 마우스 오른쪽 버튼을 클릭하고 보안 탭으로 이동해야하는 파일 속성으로 이동해야합니다.

사용자 또는 그룹에 대한 NTFS 사용 권한을 편집하려면 편집 단추를 클릭하십시오..

NTFS 사용 권한이 꽤 많이 있으므로 사용을 중단 할 수 있습니다. 먼저 파일에 설정할 수있는 NTFS 사용 권한을 살펴 보겠습니다..

1. 완전한 통제하에있는 쓰기, 수정, 실행, 속성 변경, 권한 부여 및 파일 소유권 가져 오기.
2. 수정 파일의 속성을 읽고, 쓰고, 수정하고, 실행하고, 변경할 수 있습니다..
3. 읽기 및 실행 파일의 데이터, 속성, 소유자 및 권한을 표시하고 프로그램이있는 경우 파일을 실행할 수 있습니다..
4. 독서 파일을 열고 속성, 소유자 및 사용 권한을 볼 수 있습니다..
5. 쓰다 파일에 데이터 쓰기, 파일에 추가, 속성 읽기 또는 변경 가능.

폴더에 대한 NTFS 사용 권한에는 약간 다른 옵션이 있으므로 사용법을 살펴보십시오..

1. 완전한 통제하에있는 폴더의 파일을 읽고, 쓰고, 수정하고, 실행하고, 특성, 사용 권한을 변경하고, 폴더 내의 파일 소유권을 가져올 수 있습니다..
2. 수정 폴더의 파일을 읽고, 쓰고, 수정하고, 실행하고, 폴더 내의 파일을 변경합니다..
3. 읽기 및 실행 폴더 내용을 표시하고 폴더 내의 파일에 대한 데이터, 속성, 소유자 및 사용 권한을 표시하고 폴더 내의 파일을 실행할 수 있습니다.
4. 목록 폴더 내용 폴더의 내용을 표시하고 폴더 내의 파일에 대한 데이터, 속성, 소유자 및 권한을 표시 할 수 있습니다.
5. 독서 파일의 데이터, 속성, 소유자 및 사용 권한을 표시 할 수 있습니다..
6. 쓰다 파일에 데이터 쓰기, 파일에 추가, 속성 읽기 또는 변경 가능.

Microsoft의 설명서에는 "폴더 내용보기"를 사용하면 폴더 내의 파일을 실행할 수 있지만 이렇게하려면 "읽기 및 실행"을 활성화해야합니다. 매우 혼란스럽게 문서화 된 허가서입니다..

개요

요약하면 사용자 이름과 그룹은 SID (보안 식별자), 공유 및 NTFS 사용 권한이라는 영숫자 문자열을 이러한 SID에 연결하는 표현입니다. 공유 사용 권한은 네트워크를 통해 액세스 할 때만 LSSAS에 의해 검사되고 NTFS 사용 권한은 로컬 시스템에서만 유효합니다. Windows 7에서 파일 및 폴더 보안을 구현하는 방법에 대해 모두 잘 알고 있기를 바랍니다. 질문이 있으시면 의견에 자유롭게 들려주십시오..