在Geek School的這個安裝中，我們來看看資料夾虛擬化、SIDs和許可權，以及加密檔案系統。

請務必檢視Windows 7上本極客學校系列的前幾篇文章：

• 介紹如何去極客學校
• 升級和遷移
• 配置裝置
• 管理磁碟
• 管理應用程式
• 管理Internet Explorer
• IP定址基礎
• 網路
• 無線網路
• 防火牆
• 遠端管理
• 遠端訪問
• 監視、效能並保持Windows的最新狀態

本週請繼續關注本系列的其餘部分。

資料夾虛擬化

Windows7引入了庫的概念，它允許您擁有一個集中的位置，您可以從中檢視位於計算機其他位置的資源。更具體地說，“庫”功能允許您將計算機上任何位置的資料夾新增到四個預設庫（文件、音樂、影片和圖片）中的一個，這些庫可以從Windows資源管理器的導航窗格輕鬆訪問。

關於庫功能，有兩件重要的事情需要注意：

• 將資料夾新增到庫中時，資料夾本身不會移動，而是建立指向資料夾位置的連結。
• 為了將網路共享新增到庫中，它必須可以離線使用，不過您也可以使用符號連結來解決此問題。

要將資料夾新增到庫中，只需進入庫並單擊位置連結。

然後單擊新增按鈕。

現在找到要包含在庫中的資料夾，然後單擊“包含資料夾”按鈕。

就這些。

安全識別符號

Windows作業系統使用sid來表示所有的安全原則。SID只是表示機器、使用者和組的字母數字字元的可變長度字串。每次授予使用者或組對檔案或資料夾的許可權時，都會將SID新增到ACL（訪問控制列表）中。在幕後，SID的儲存方式與所有其他資料物件相同：二進位制。但是，當您在Windows中看到SID時，它將使用更可讀的語法顯示。在Windows中，您並不經常看到任何形式的SID；最常見的情況是您授予某人對資源的許可權，然後刪除他們的使用者帳戶。SID隨後將顯示在ACL中。讓我們看看Windows中sid的典型格式。

您將看到的符號採用特定的語法。下面是SID的不同部分。

• “S”字首
• 結構修訂號
• 48位識別符號授權值
• 32位子許可權或相對識別符號（RID）值的可變數目

在下面的圖片中使用我的SID，我們將分解不同的部分以獲得更好的理解。

The SID Structure:

‘S’ – The first component of a SID is always an ‘S’. This is prefixed to all SIDs and is there to inform Windows that what follows is a SID. ’1′ – The second component of a SID is the revision number of the SID specification. If the SID specification was to change it would provide backwards compatibility. As of Windows 7 and Server 2008 R2, the SID specification is still in the first revision. ’5′ – The third section of a SID is called the Identifier Authority. This defines in what scope the SID was generated. Possible values for this secti*** of the SID can be:

• 0 – Null Authority
• 1 – World Authority
• 2 – Local Authority
• 3 – Creator Authority
• 4 – Non-unique Authority
• 5 – NT Authority

’21′ – The fourth component is sub-authority 1. The value ’21′ is used in the fourth field to specify that the sub-authorities that follow identify the Local Machine or the Domain. ’1206375286-251249764-2214032401′ – These are called sub-authority 2,3 and 4 respectively. In our example this is used to identify the local machine, but could also be the the identifier for a Domain. ’1000′ – Sub-authority 5 is the last component in our SID and is called the RID (Relative Identifier). The RID is relative to each security principle: please note that any user defined objects, the ones that are not shipped by Microsoft, will have a RID of 1000 or greater.

安全原則

安全原則是任何附加了SID的東西。它們可以是使用者、計算機甚至是組。安全原則可以是本地的，也可以是域上下文中的。您可以透過“計算機管理”下的“本地使用者和組”管理單元來管理本地安全原則。要到達那裡，右鍵單擊“開始”選單中的“計算機”快捷方式，然後選擇“管理”。

要新增新的使用者安全原則，可以轉到“使用者”資料夾，右鍵單擊並選擇“新使用者”。

如果雙擊某個使用者，可以將其新增到“成員”選項卡上的安全組中。

要建立新的安全組，請導航到右側的Groups資料夾。在空白處單擊滑鼠右鍵，然後選擇“新建組”。

共享許可權和ntfs許可權

在Windows中，有兩種型別的檔案和資料夾許可權。首先是共享許可權。其次，有NTFS許可權，也叫安全許可權。保護共享資料夾的安全通常是透過共享和NTFS許可權的組合來完成的。既然是這樣，就必須記住，最嚴格的許可總是適用的。例如，如果share許可權授予Everyone security principle read許可權，但NTFS許可權允許使用者對檔案進行更改，則share許可權將優先，並且不允許使用者進行更改。設定許可權時，LSASS（本地安全機構）控制對資源的訪問。當您登入時，您將獲得一個帶有SID的訪問令牌。當您訪問資源時，LSASS會比較您新增到ACL（訪問控制列表）的SID。如果SID在ACL上，它將確定是允許還是拒絕訪問。無論您使用什麼許可權，都存在差異，因此讓我們看一看，以便更好地瞭解何時應該使用什麼。

共享許可權：

• 僅適用於透過網路訪問資源的使用者。如果您在本地登入，例如透過終端服務登入，則它們不適用。
• 它適用於共享資源中的所有檔案和資料夾。如果您想提供更細粒度的限制方案，除了共享許可權外，還應該使用NTFS許可權
• 如果您有任何FAT或FAT32格式的卷，這將是唯一可用的限制形式，因為NTFS許可權在這些檔案系統上不可用。

NTFS許可權：

• 對NTFS許可權的唯一限制是，只能在格式化為NTFS檔案系統的捲上設定這些許可權
• 請記住，NTFS許可權是累積的。這意味著使用者的有效許可權是使用者分配的許可權和使用者所屬的任何組的許可權相結合的結果。

新共享許可權

Windows7採用了一種新的“輕鬆”共享技術。選項從Read、Change和Full Control更改為Read和Read/Write。這個想法是整個家庭小組思想的一部分，讓不懂電腦的人很容易共享一個資料夾。這是透過上下文選單完成的，可以輕鬆地與您的家庭組共享。

如果你想與不在家庭組中的人分享，你可以選擇“特定的人…”選項。這樣會出現一個更“複雜”的對話方塊，您可以在其中指定一個使用者或組。

如前所述，只有兩個許可權。它們一起為您的資料夾和檔案提供全有或全無保護方案。

1. Read permission is the “look, don’t touch” option. Recipients can open, but not modify or delete a file.
2. Read/Write is the “do anything” option. Recipients can open, modify, or delete a file.

舊學校的許可

舊的“共享”對話方塊有更多選項，例如在不同別名下共享資料夾的選項。它允許我們限制同時連線的數量以及配置快取。這些功能在Windows7中都沒有丟失，而是隱藏在一個名為“高階共享”的選項下。如果右鍵單擊資料夾並轉到其屬性，則可以在“共享”選項卡下找到這些“高階共享”設定。

如果單擊需要本地管理員憑據的“高階共享”按鈕，則可以配置以前版本的Windows中熟悉的所有設定。

如果你點選permissi***按鈕，你會看到3個我們都熟悉的設定。

• 讀取許可權允許您檢視和開啟檔案和子目錄以及執行應用程式。但是，它不允許進行任何更改。
• “修改”許可權允許您執行“讀取”許可權允許的任何操作，還可以新增檔案和子目錄、刪除子資料夾以及更改檔案中的資料。
• 完全控制是“做任何事”的經典許可權，因為它允許你做任何和所有以前的許可權。此外，它還授予您高階更改NTFS許可權，但這僅適用於NTFS資料夾

ntfs許可權

NTFS許可權允許對檔案和資料夾進行非常精細的控制。儘管如此，對於新手來說，粒度的大小可能會讓人望而生畏。您還可以按檔案和資料夾設定NTFS許可權。要設定檔案的NTFS許可權，您應該右鍵單擊並轉到檔案的屬性，然後轉到安全選項卡。

要編輯使用者或組的NTFS許可權，請單擊“編輯”按鈕。

正如您可能看到的，有相當多的NTFS許可權，所以讓我們來分解它們。首先，我們將瞭解您可以對檔案設定的NTFS許可權。

• Full Control allows you to read, write, modify, execute, change attributes, permissi***, and take ownership of the file.
• Modify allows you to read, write, modify, execute, and change the file’s attributes.
• Read & Execute will allow you to display the file’s data, attributes, owner, and permissi***, and run the file if it’s a program.
• Read will allow you to open the file, view its attributes, owner, and permissi***.
• Write will allow you to write data to the file, append to the file, and read or change its attributes.

資料夾的NTFS許可權有稍微不同的選項，所以讓我們看看它們。

• Full Control will allow you to read, write, modify, and execute files in the folder, change attributes, permissi***, and take ownership of the folder or files within.
• Modify will allow you to read, write, modify, and execute files in the folder, and change attributes of the folder or files within.
• Read & Execute will allow you to display the folder’s contents and display the data, attributes, owner, and permissi*** for files within the folder, and run files within the folder.
• List Folder Contents will allow you to display the folder’s contents and display the data, attributes, owner, and permissi*** for files within the folder, and run files within the folder
• Read will allow you to display the file’s data, attributes, owner, and permissi***.
• Write will allow you to write data to the file, append to the file, and read or change its attributes.

總結

總之，使用者名稱和組是稱為SID（安全識別符號）的字母數字字串的表示形式。共享和NTFS許可權與這些SID繫結。只有在透過網路訪問時，lssa才會檢查共享許可權，而NTFS許可權與共享許可權相結合，以便為透過網路和本地訪問的資源提供更細粒度的安全級別。

訪問共享資源

既然我們已經瞭解了在PC上共享內容的兩種方法，那麼您實際上是如何透過網路訪問內容的呢？這很簡單。只需在導航欄中鍵入以下內容。

\\computername\sharename

注意：顯然，您需要用computername替換託管共享的PC的名稱，用sharename替換共享的名稱。

這對於一次性連線來說是很好的，但是在更大的公司環境中呢？當然，您不必教您的使用者如何使用此方法連線到網路資源。為了解決這個問題，您需要為每個使用者對映一個網路驅動器，這樣您就可以建議他們將文件儲存在“H”驅動器上，而不是試圖解釋如何連線到共享。要對映驅動器，請開啟計算機並單擊“對映網路驅動器”按鈕。

然後只需輸入共享的UNC路徑。

您可能想知道是否必須在每臺PC上都這樣做，幸運的是答案是否定的。相反，您可以編寫一個批處理指令碼，在登入時為使用者自動對映驅動器，並透過組策略進行部署。

如果我們剖析命令：

• 我們正在使用netuse命令來對映驅動器。
• 我們使用*表示我們要使用下一個可用的驅動器號。
• 最後，我們指定要將驅動器對映到的共享。注意，我們使用引號是因為UNC路徑包含空格。

使用加密檔案系統加密檔案

Windows包括加密NTFS捲上的檔案的功能。這意味著只有您才能解密檔案並檢視它們。要加密檔案，只需右鍵單擊它並從上下文選單中選擇屬性。

然後單擊高階。

現在選中加密內容以保護資料複選框，然後單擊確定。

現在繼續應用設定。

我們只需要加密檔案，但您也可以選擇加密父資料夾。

請注意，一旦檔案加密，它就會變成綠色。

現在，您將注意到只有您才能開啟該檔案，而同一臺PC上的其他使用者將無法開啟該檔案。加密過程使用公鑰加密，因此請確保加密金鑰的安全。如果您丟失了它們，您的檔案就不見了，無法恢復。

作業

• 瞭解許可權繼承和有效許可權。
• 閱讀此Microsoft文件。
• 瞭解為什麼要使用BranchCache。
• 瞭解如何共享印表機以及為什麼要共享印表機。