在Geek School的这个安装中，我们来看看文件夹虚拟化、SIDs和权限，以及加密文件系统。

请务必查看Windows 7上本极客学校系列的前几篇文章：

• 介绍如何去极客学校
• 升级和迁移
• 配置设备
• 管理磁盘
• 管理应用程序
• 管理Internet Explorer
• IP寻址基础
• 网络
• 无线网络
• 防火墙
• 远程管理
• 远程访问
• 监视、性能并保持Windows的最新状态

本周请继续关注本系列的其余部分。

文件夹虚拟化

Windows7引入了库的概念，它允许您拥有一个集中的位置，您可以从中查看位于计算机其他位置的资源。更具体地说，“库”功能允许您将计算机上任何位置的文件夹添加到四个默认库（文档、音乐、视频和图片）中的一个，这些库可以从Windows资源管理器的导航窗格轻松访问。

关于库功能，有两件重要的事情需要注意：

• 将文件夹添加到库中时，文件夹本身不会移动，而是创建指向文件夹位置的链接。
• 为了将网络共享添加到库中，它必须可以脱机使用，不过您也可以使用符号链接来解决此问题。

要将文件夹添加到库中，只需进入库并单击位置链接。

然后单击添加按钮。

现在找到要包含在库中的文件夹，然后单击“包含文件夹”按钮。

就这些。

安全标识符

Windows操作系统使用sid来表示所有的安全原则。SID只是表示机器、用户和组的字母数字字符的可变长度字符串。每次授予用户或组对文件或文件夹的权限时，都会将SID添加到ACL（访问控制列表）中。在幕后，SID的存储方式与所有其他数据对象相同：二进制。但是，当您在Windows中看到SID时，它将使用更可读的语法显示。在Windows中，您并不经常看到任何形式的SID；最常见的情况是您授予某人对资源的权限，然后删除他们的用户帐户。SID随后将显示在ACL中。让我们看看Windows中sid的典型格式。

您将看到的符号采用特定的语法。下面是SID的不同部分。

• “S”前缀
• 结构修订号
• 48位标识符授权值
• 32位子权限或相对标识符（RID）值的可变数目

在下面的图片中使用我的SID，我们将分解不同的部分以获得更好的理解。

The SID Structure:

‘S’ – The first component of a SID is always an ‘S’. This is prefixed to all SIDs and is there to inform Windows that what follows is a SID. ’1′ – The second component of a SID is the revision number of the SID specification. If the SID specification was to change it would provide backwards compatibility. As of Windows 7 and Server 2008 R2, the SID specification is still in the first revision. ’5′ – The third section of a SID is called the Identifier Authority. This defines in what scope the SID was generated. Possible values for this secti*** of the SID can be:

• 0 – Null Authority
• 1 – World Authority
• 2 – Local Authority
• 3 – Creator Authority
• 4 – Non-unique Authority
• 5 – NT Authority

’21′ – The fourth component is sub-authority 1. The value ’21′ is used in the fourth field to specify that the sub-authorities that follow identify the Local Machine or the Domain. ’1206375286-251249764-2214032401′ – These are called sub-authority 2,3 and 4 respectively. In our example this is used to identify the local machine, but could also be the the identifier for a Domain. ’1000′ – Sub-authority 5 is the last component in our SID and is called the RID (Relative Identifier). The RID is relative to each security principle: please note that any user defined objects, the ones that are not shipped by Microsoft, will have a RID of 1000 or greater.

安全原则

安全原则是任何附加了SID的东西。它们可以是用户、计算机甚至是组。安全原则可以是本地的，也可以是域上下文中的。您可以通过“计算机管理”下的“本地用户和组”管理单元来管理本地安全原则。要到达那里，右键单击“开始”菜单中的“计算机”快捷方式，然后选择“管理”。

要添加新的用户安全原则，可以转到“用户”文件夹，右键单击并选择“新用户”。

如果双击某个用户，可以将其添加到“成员”选项卡上的安全组中。

要创建新的安全组，请导航到右侧的Groups文件夹。在空白处单击鼠标右键，然后选择“新建组”。

共享权限和ntfs权限

在Windows中，有两种类型的文件和文件夹权限。首先是共享权限。其次，有NTFS权限，也叫安全权限。保护共享文件夹的安全通常是通过共享和NTFS权限的组合来完成的。既然是这样，就必须记住，最严格的许可总是适用的。例如，如果share权限授予Everyone security principle read权限，但NTFS权限允许用户对文件进行更改，则share权限将优先，并且不允许用户进行更改。设置权限时，LSASS（本地安全机构）控制对资源的访问。当您登录时，您将获得一个带有SID的访问令牌。当您访问资源时，LSASS会比较您添加到ACL（访问控制列表）的SID。如果SID在ACL上，它将确定是允许还是拒绝访问。无论您使用什么权限，都存在差异，因此让我们看一看，以便更好地了解何时应该使用什么。

共享权限：

• 仅适用于通过网络访问资源的用户。如果您在本地登录，例如通过终端服务登录，则它们不适用。
• 它适用于共享资源中的所有文件和文件夹。如果您想提供更细粒度的限制方案，除了共享权限外，还应该使用NTFS权限
• 如果您有任何FAT或FAT32格式的卷，这将是唯一可用的限制形式，因为NTFS权限在这些文件系统上不可用。

NTFS权限：

• 对NTFS权限的唯一限制是，只能在格式化为NTFS文件系统的卷上设置这些权限
• 请记住，NTFS权限是累积的。这意味着用户的有效权限是用户分配的权限和用户所属的任何组的权限相结合的结果。

新共享权限

Windows7采用了一种新的“轻松”共享技术。选项从Read、Change和Full Control更改为Read和Read/Write。这个想法是整个家庭小组思想的一部分，让不懂电脑的人很容易共享一个文件夹。这是通过上下文菜单完成的，可以轻松地与您的家庭组共享。

如果你想与不在家庭组中的人分享，你可以选择“特定的人…”选项。这样会出现一个更“复杂”的对话框，您可以在其中指定一个用户或组。

如前所述，只有两个权限。它们一起为您的文件夹和文件提供全有或全无保护方案。

1. Read permission is the “look, don’t touch” option. Recipients can open, but not modify or delete a file.
2. Read/Write is the “do anything” option. Recipients can open, modify, or delete a file.

旧学校的许可

旧的“共享”对话框有更多选项，例如在不同别名下共享文件夹的选项。它允许我们限制同时连接的数量以及配置缓存。这些功能在Windows7中都没有丢失，而是隐藏在一个名为“高级共享”的选项下。如果右键单击文件夹并转到其属性，则可以在“共享”选项卡下找到这些“高级共享”设置。

如果单击需要本地管理员凭据的“高级共享”按钮，则可以配置以前版本的Windows中熟悉的所有设置。

如果你点击permissi***按钮，你会看到3个我们都熟悉的设置。

• 读取权限允许您查看和打开文件和子目录以及执行应用程序。但是，它不允许进行任何更改。
• “修改”权限允许您执行“读取”权限允许的任何操作，还可以添加文件和子目录、删除子文件夹以及更改文件中的数据。
• 完全控制是“做任何事”的经典权限，因为它允许你做任何和所有以前的权限。此外，它还授予您高级更改NTFS权限，但这仅适用于NTFS文件夹

ntfs权限

NTFS权限允许对文件和文件夹进行非常精细的控制。尽管如此，对于新手来说，粒度的大小可能会让人望而生畏。您还可以按文件和文件夹设置NTFS权限。要设置文件的NTFS权限，您应该右键单击并转到文件的属性，然后转到安全选项卡。

要编辑用户或组的NTFS权限，请单击“编辑”按钮。

正如您可能看到的，有相当多的NTFS权限，所以让我们来分解它们。首先，我们将了解您可以对文件设置的NTFS权限。

• Full Control allows you to read, write, modify, execute, change attributes, permissi***, and take ownership of the file.
• Modify allows you to read, write, modify, execute, and change the file’s attributes.
• Read & Execute will allow you to display the file’s data, attributes, owner, and permissi***, and run the file if it’s a program.
• Read will allow you to open the file, view its attributes, owner, and permissi***.
• Write will allow you to write data to the file, append to the file, and read or change its attributes.

文件夹的NTFS权限有稍微不同的选项，所以让我们看看它们。

• Full Control will allow you to read, write, modify, and execute files in the folder, change attributes, permissi***, and take ownership of the folder or files within.
• Modify will allow you to read, write, modify, and execute files in the folder, and change attributes of the folder or files within.
• Read & Execute will allow you to display the folder’s contents and display the data, attributes, owner, and permissi*** for files within the folder, and run files within the folder.
• List Folder Contents will allow you to display the folder’s contents and display the data, attributes, owner, and permissi*** for files within the folder, and run files within the folder
• Read will allow you to display the file’s data, attributes, owner, and permissi***.
• Write will allow you to write data to the file, append to the file, and read or change its attributes.

总结

总之，用户名和组是称为SID（安全标识符）的字母数字字符串的表示形式。共享和NTFS权限与这些SID绑定。只有在通过网络访问时，lssa才会检查共享权限，而NTFS权限与共享权限相结合，以便为通过网络和本地访问的资源提供更细粒度的安全级别。

访问共享资源

既然我们已经了解了在PC上共享内容的两种方法，那么您实际上是如何通过网络访问内容的呢？这很简单。只需在导航栏中键入以下内容。

\\computername\sharename

注意：显然，您需要用computername替换托管共享的PC的名称，用sharename替换共享的名称。

这对于一次性连接来说是很好的，但是在更大的公司环境中呢？当然，您不必教您的用户如何使用此方法连接到网络资源。为了解决这个问题，您需要为每个用户映射一个网络驱动器，这样您就可以建议他们将文档存储在“H”驱动器上，而不是试图解释如何连接到共享。要映射驱动器，请打开计算机并单击“映射网络驱动器”按钮。

然后只需输入共享的UNC路径。

您可能想知道是否必须在每台PC上都这样做，幸运的是答案是否定的。相反，您可以编写一个批处理脚本，在登录时为用户自动映射驱动器，并通过组策略进行部署。

如果我们剖析命令：

• 我们正在使用netuse命令来映射驱动器。
• 我们使用*表示我们要使用下一个可用的驱动器号。
• 最后，我们指定要将驱动器映射到的共享。注意，我们使用引号是因为UNC路径包含空格。

使用加密文件系统加密文件

Windows包括加密NTFS卷上的文件的功能。这意味着只有您才能解密文件并查看它们。要加密文件，只需右键单击它并从上下文菜单中选择属性。

然后单击高级。

现在选中加密内容以保护数据复选框，然后单击确定。

现在继续应用设置。

我们只需要加密文件，但您也可以选择加密父文件夹。

请注意，一旦文件加密，它就会变成绿色。

现在，您将注意到只有您才能打开该文件，而同一台PC上的其他用户将无法打开该文件。加密过程使用公钥加密，因此请确保加密密钥的安全。如果您丢失了它们，您的文件就不见了，无法恢复。

作业

• 了解权限继承和有效权限。
• 阅读此Microsoft文档。
• 了解为什么要使用BranchCache。
• 了解如何共享打印机以及为什么要共享打印机。