︿
Top

Windows 7 6292A 筆記 - CH03 設定檔案及印表機權限

by Weithenn on 星期二, 3月 29, 2011

前言

以下為 6292A - Installing and Configuring Windows7 Client 教育訓練課程時,第三章-設定檔案及印表機權限 (Module 3: Configuring File Access and Printers on Windows 7 Client Computers) 的筆記。



驗證及授權

  • Authentication 是用來 識別身份
  • Authorization 是用來 授權
  • Kerberos V.5,在相同 AD Forest 下的 Win2k 以上的電腦
  • NTLM V.2,Kerberos 無法驗証或不在 AD Forest 中才使用
  • Certificate Mapping,安裝 CA 發行 User Certificate 給每一位使用者



Windows 7 分享

  • WIn7 分享方便機制,Home Group 產生 Key (密碼) 其它台輸入 Key 即可互相存取資料,這樣的方式稱之為 Online Identity Integration
  • NTFS 可控管 本機 存取的 檔案/目錄



權限繼承

NTFS Permission 是在 安全性(Security) 頁面設定。Owner 可變更權限,誰可以去搶奪 Owner Ship?
  • 只有 Administrators 群組成員可以強制取得
  • 搶回之後記得把 權限 加入才可進行存取



Copy 及 Move 的權限變化

相同 Volume (分割區) 上移動資料夾權限會 保留,其它狀況一律繼承 目的地 的目錄權限。



何謂有效權限?

使用者及群組所累加的權限最後的結果 (例如 alan 只有 read,但 everyone group 有 write,所以結果是 alan 也可以 write),Deny 高於 Allow 權限。

舉例 1. administrator full、everyone read、alan read

結果是 alan 為 read

舉例 2. administrator full、everyone modify、alan read

結果是 alan 為 modify

舉例 3. administrator full、everyone modify、alan read-deny

結果是 alan 為無法存取

結論

  • 不在列表中的 User 就是沒有權限
  • Deny 的用途是 "排除" 群組中的部份成員

最後若是對某個目錄或檔案的權限有問題,可利用系統幫你計算使用者的實際運作權限
  • 目錄 > 右鍵 > 內容 > security > advanced > change > Effective Permissions 來計算有效權限



Shared Folder

簡單說就是從網路進來的權限,僅能針對分享目錄 (無法針對單一檔案),如何設定 Shared Folder:

1. Windows Explorer: 目錄 > 右鍵 > 內容 > sharing > advanced sharing > 勾選 share this folder
2. Computer Management (可管理多台主機間的分享資料夾設定): Shared Folders > Shares > 右鍵 > New Share (資料夾不用先建立,會自動建)
3. net share 共用名稱 = 實際目錄路徑 (資料夾要先建立)

分享目錄的方法

  • Basic Sharing: 指定 User 及權限
  • Advanced Sharing: 指定 User 及權限、限制連線數量、Caching 為設定是否啟用 Offline file (允許讓來抓資料的主機把這裡分享的檔案抓回至該主機的離線檔案區)、設定為 All ...,所以 Client 會先抓回去然後用 cache 開啟之後在回存回來。

Library 功用

  • Windows Explorer > 左邊的 Library > 右鍵 > New
  • 整理檔案 (可以內含一堆資料夾的連結)
  • 若啟用 HomeGroup 則 Group 中的成員可看到



NTFS and Share Permissions

從網路過來時,第一道關卡就是 Share 然後要存取檔案時就是第二道關卡 NTFS,二者的權限是取其 交集 為最後得到的權限。

舉例 1. Share - everyone read、NTFS - everyone modify

當 alan 從網路過來時得到的權限, alan 為 read (二者交集)

舉例 2. Share - everyone read、alan write ->累加 write、NTFS - everyone modify、alan read ->累加 modify

當 alan 從網路過來時得到的權限, alan 為 write (write modify 二者交集),若是 mary 則為 read (read、modify 二者交集)

結論 (為何二者都要設定?)

  • Share Permission 為優先設定
  • NTFS Permission 一般是對單一檔案或子目錄要進行特別設定之所需



File Compression

同一個 Volume 對壓縮檔進行 copy, move 都保持壓縮狀態。
  • 可針對 檔案、目錄、磁碟 進行壓縮
  • 請不要針對 檔案系統 進行壓縮 (常使用的檔案不要壓縮)
  • Disk Quota 計算單位是 原始大小 不是壓縮後的大小



Printing

services.msc > Print Spooler 此服務為控制列印服務 (服務被關閉則無法列印),轉換為 Queue 後資料在 RAM? HDD? 放在 HDD 的 %systemroot%\System32\spool\PRINTERS 為存放 Queue 的地方。
  • XPS-based Printing: App 列印 > 選印表機 > XPS > 儲存成 *.xps (檔案格式)
  • GDI-based Printing (傳統): App 列印 > 選印表機 > 轉換 > Queue (Spool)
文章標籤: