ICT1TN002 1/23 Työasemat ja tietoverkot Tietojenkäsittelyn koulutusohjelma 1 ICT1TN002 Windows 7 käyttäjät Tässä selostuksessa on oletettu, että Admin niminen käyttäjätunnus kuuluu Administrators ryhmään. Tämä tunnus voisi olla asennuksen yhteydessä luotu käyttäjätunnus. 1.1 Paikalliset käyttäjät ja ryhmät (Local Users and Groups) Windowsissa on eritasoisia käyttäjiä tai oikeastaan käyttäjätunnuksia. Eritasoinen tarkoittaa sitä, että tunnuksella on erilaisia oikeuksia käyttöjärjestelmään. Tuo eriarvoisuus lähtee oikeastaan siitä, että on olemassa eritasoisia käyttäjäryhmiä. Jokainen käyttäjätunnus kuuluu vähintään yhteen ryhmään. Windows 7:ssä on seuraavan kuvan mukaiset käyttäjäryhmät Seuraavat ovat tärkeimmät käyttäjäryhmät käyttöjärjestelmään liittyvine oikeuksineen: Administrators Power Users Users Guests täydelliset ja rajoittamattomat oikeudet järjestelmään (pääkäyttäjä) tehokäyttäjät, jotka voivat esimerkiksi jakaa hakemistoja tavalliset peruskäyttäjät melkein oikeudet kuin Users-ryhmällä, paitsi Guest -tunnuksella Users ryhmään kuuluvilla käyttäjillä on niin vähän oikeuksia käyttöjärjestelmään, että niiden avulla käyttöjärjestelmää ei pitäisi voida saada toimimattomaksi.
ICT1TN002 2/23 Käyttäjiä ja käyttäjäryhmiä hallitaan Computer Management -työkalulla, joka löytyy polusta Start -> Control Panel -> System and Maintenance -> Administrative Tools tai kirjoittamalla Start Search kenttään yksinkertaisesti computer. Kuten yllä olevasta kuvasta näkyy Local Users and Groups säiliön alla on myös Users säiliö. Täältä löytyvät kaikki koneesta löytyvät käyttäjätunnukset. Kuten ehkä huomasit, nyt on jo mainittu Users ryhmä ja Users säiliö. Näitä kahta ei saa sekoittaa keskenään. Kaikki luodut käyttäjätunnukset, jotka ovat siis Users säiliössä, saavat sen perusteella oikeuksia käyttöjärjestelmään, mihin käyttäjäryhmään ne kuuluvat. Asennuksen jälkeen on olemassa vain yksi toimiva käyttäjätunnus, joka on luotu asennuksen yhteydessä. Labran harjoitusympäristössä tämä tunnus luotiin opiskelijan etunimellä (kuvassa nimellä Admin). Tunnus on Administrators ryhmän jäsen. Aikaisemmissa Windows versioissa oli Administrator niminen tunnus ja Windows 7:ssäkin tämä tunnus on, mutta se on otettu pois käytöstä. Kuten kuvasta näkyy, Administrator tunnuksen ikonissa on nuoli alaspäin, joka kertoo, että tunnus ei ole käytössä. Valmiina on myös Guest tunnus, joka kuuluu Guests ryhmään. Myös tämä tunnus on disabloitu. Users ryhmässä ei siis ole yhtään tunnusta valmiina. Kuitenkin, kun luodaan uusia käyttäjätunnuksia, ne tulevat Users ryhmän jäseniksi. Myös uusia ryhmiä voidaan luoda ja niiden oikeudet käyttöjärjestelmään asetetaan automaattisesti samantasoisiksi kuin Users ryhmälläkin. Kun käyttöjärjestelmään kirjautunut käynnistää jonkin ohjelman, niin ohjelma saa samat oikeudet käyttöjärjestelmään kuin kirjautuneella tunnuksellakin on. Ohjelman käynnistyksen asetuksissa, esimerkiksi pikakuvakkeen pikavalikosta Properties, aukeaa ikkuna, jonka välilehti Compatibility näyttää seuraavalta
ICT1TN002 3/23 Täältä löytyy valinta Privilege Level, jossa on mahdollisuus valita Run this program as an administrator. Asetusta ei tavallinen käyttäjä, joka kuuluu ryhmään Users, pääse muuttamaan. Tuolla asetuksella ei tavalliselle käyttäjälle voi antaa administrator oikeuksia ohjelman ajamiseen, koska ohjelma kysyy tarvittavaa tunnusta ja salasanaa, jos käyttäjällä ei ole administrator -oikeuksia. Asetus on vain sitä varten, että ohjelman saa käynnistymään automaattisesti siihen tilaan, jossa se toimii, niille käyttäjille, joilla on administrator oikeudet. Idea käyttäjäryhmien käyttämisessä on siinä, että niiden avulla määrätyille käyttäjätunnuksille voidaan tiedostojärjestelmään määritellä hakemistoille erilaisia oikeuksia, esimerkiksi jollekin hakemistolle vain lukuoikeudet ja toiselle hakemistolle kaikki oikeudet. Nämä oikeudet voidaan määritellä siis käyttäjäryhmien avulla, jolloin käyttäjä saa erilaisia oikeuksia hakemistoihin sen perusteella, mihin käyttäjäryhmiin hänen käyttäjätunnuksensa kuuluu. Mikäli käyttäjätunnus kuuluu useampaan käyttäjäryhmään, niin käyttäjäryhmille annetut erilaiset oikeudet summataan. Palvelinympäristössä käyttäjäryhmä voi kuulua jäsenenä toisiin käyttäjäryhmiin, mutta työasemassa käyttäjäryhmään voi kuulua vain käyttäjätunnuksia. Yritysympäristössä järjestelmän ylläpitäjä määrittelee oikeuksia vain ryhmittäin ja ryhmienkin määrää yritetään pitää mahdollisimman pienenä. 1.2 Käyttäjätunnusten ja ryhmien luominen Jokaisella käyttäjällä on tyypillisesti oma käyttäjätunnus, joten niiden määrä on sama kuin käyttäjien määrä. Sama käyttäjätunnus voi kuulua useampaan ryhmään ja näin käyttäjälle voidaan saada aikaan hänen tarvitsemansa oikeudet, lisäämällä käyttäjätunnus erilaisiin
ICT1TN002 4/23 ryhmiin, joille on määritelty erilaisia oikeuksia tiedostojärjestelmään. Sen sijaan ryhmien määrä, joiden avulla siis määritellään oikeuksia tiedostojärjestelmään (hakemistoihin ja tiedostoihin), kannattaa yrittää pitää mahdollisimman pienenä. Ideana yritysympäristössä on se, että verkossa olevalle tiedostopalvelimelle jokaiselle käyttäjälle voidaan antaa määrätyt oikeudet eri hakemistoihin. Mutta tämä toimii myös paikallisesti yhdellä työasemalla. Työasemaan, esimerkiksi kotikoneeseen, voidaan määritellä useampi käyttäjätunnus ja estää käyttäjiä näkemästä/muuttamasta kiintolevyn sisältöä näiden oikeusmäärittelyjen avulla. Käyttäjätunnuksen tai -ryhmän luominen voidaan tehdä valinnalla Action, kunhan on ensin valittu "säiliö" Users tai Groups. Luomisen voi tehdä myös hiiren oikealla painikkeella esimerkiksi klikkaamalla "Users", jolloin voidaan luoda uusi käyttäjä ja avautuu seuraava ikkuna: Käyttäjälle määritellään tässä myös salasana ja voidaan määritellä salasanaan liittyen muitakin ominaisuuksia, jotka ovat siis tässä käyttäjätunnuskohtaisia. Esimerkiksi monen käyttäjän käyttämä yhteinen tunnus on sellainen, että sen salasanan vaihtaminen pitää käyttäjältä kieltää. Lisäksi tunnus voidaan tehdä valmiiksi ja ottaa käyttöön myöhemmin (Account is disabled). Näiden lisäksi on olemassa yhteisiä, kaikkia koskevia salasanamäärityksiä, joista lisää tuonnempana. Käyttäjäryhmän luominen tehdään vastaavasti. Ainoat tiedot, jotka tarvitsee antaa, on käyttäjäryhmän nimi, kuvaus ja ketkä kuuluvat ryhmään. Käyttäjäryhmien määrittelyikkunassa käyttäjätunnukset lisätään Add painikkeen avulla ja lisäykset kannattaa tässä vaiheessa tehdä polun Add -> Advanced -> Find Now avulla ja etsimisen tuloksista valita lisättävät tunnukset. Yksi ja sama käyttäjätunnus voidaan lisätä useampaan ryhmään.
ICT1TN002 5/23 1.3 Hakemistojen ja tiedostojen oikeudet Tiedostojärjestelmä NTFS:ssä voi määritellä suojauksia sekä hakemistoihin, että tiedostoihin. Kun suojauksia määritellään, kerrotaan mitä hakemistolle tai tiedostolle saa tehdä ja lisäksi määritellään keillä kaikilla nuo oikeudet ovat. Seuraavassa kuvassa on kerrottu oikeudet pääpiirteissään Kuva sivulta http://technet.microsoft.com/en-us/library/cc732880.aspx Yllä oleva ryhmittely (taulukon sarakkeet) löytyy myös oikeuksien määrittelyikkunasta. Ryhmittely tarkoittaa tässä sitä, että nuo sarakkeissa olevat oikeudet on koottu yhteen pienemmistä (tarkemmista) oikeuksista, joita on kaikkiaan neljätoista (taulukon rivit). Tässä harjoituksessa riittää tuo ryhmitelty tarkkuus eli sarakkeiden määrittelyjen käyttö.
ICT1TN002 6/23 Kun jostakin hakemistosta ottaa pikavalikon ja valitsee Properties, niin Security -välilehdellä on nähtävissä hakemiston oikeusmäärittelyt. Kuten kuvasta näkyy, hakemisto on C:\data. Käyttäjä on itse luonut tämän hakemiston C: -aseman juureen eikä sen oikeusmäärittelyihin ole tehty mitään muutoksia. Kuvassa on näkyvissä Users käyttäjäryhmän saamat oletusoikeudet tähän hakemistoon. Kuvaan ei ole mahtunut ylimpänä olevaa Full control oikeutta. Sen sijaan alimpana näkyy määrittely Special permissions, jossa on täppä, mikäli määrittely on tehty tarkemmilla, noilla neljällätoista aikaisemmassa kuvassa näkyvillä oikeusvaihtoehdoilla. Jokaiselle ryhmälle käyttöoikeudet voidaan määritellä erikseen ja ne voidaan joko sallia (Allow) tai kieltää (Deny). Oikeuksia voidaan määritellä myös yksittäiselle käyttäjätunnukselle, mutta hallittavuus paranee, jos näin ei menetellä. Kuten aikaisemmin mainittiin, jos käyttäjätunnus kuuluu useampaan ryhmään, niin oikeudet summataan. Mutta entä jos jossakin ryhmässä on annettu Write oikeus (Allow) ja toisessa ryhmässä Write-oikeus on kielletty (Deny) ja tunnus kuuluu molempiin. Tällöin kielto (Deny) on voimakkaampi ja kielto tulee voimaan. Deny määrittelyä kannattaa kuitenkin välttää, koska se on aina voimassa, oli muualla määritelty mitä tahansa muuta. Tavallinen Users ryhmään kuuluva käyttäjä näyttäisi saavan hakemistoon vain lukuoikeudet. Kaikki käyttäjät kuuluvat myös ryhmään Authenticated Users. Tämä ei ole siinä mielessä samanlainen ryhmä, kuin aikaisemmassa kuvassa näkyneet Groups säiliössä olevat ryhmät ovat. Authenticated Users ryhmään ei voi lisätä käyttäjiä pysyvästi jäseneksi, vaan käyttöjärjestelmä lisää automaattisesti käyttäjän tähän ryhmään, kun hän kirjautuu järjes-
ICT1TN002 7/23 telmään. Tällä ryhmällä onkin Modify oikeudet, joten käytännössä kaikilla käyttäjillä on mahdollista muuttaa hakemiston C:\data sisältöä. 1.4 Oikeuksien periytyminen Miten nuo oikeudet sitten tulivat oletuksena hakemistoon C:\data? Oikeudet periytyvät (inherit) eli oikeudet tulevat vanhemmalta. Tämä tarkoittaa, että esimerkiksi alihakemiston oikeuksiksi tulee sen yläpuolella olevan hakemiston oikeudet. Tiedoston osalta se tarkoittaa, että oikeudet tulevat hakemistosta. Periytyminen on oletuksena käytössä, mutta sen voi myös poistaa. Kun Properties ikkunassa valitaan Advanced, niin aukeaa seuraava ikkuna. Kuvassa näkyy, että täppä on valinnassa Include inheritable permissions from this object s parent. Valinta on himmeänä, koska sitä ei voi tässä tilanteessa muuttaa, vaan ensin on vielä valittava erikseen Change Permissions. Kuvassa on myös sarake Inherited From, josta näkyy, että periytyminen tapahtuu C: -aseman juuresta. Täydennyksenä oikeuksien määrittelyyn lukuun 1.3 mainittakoon, että kuvassa näkyy sarake Apply To, jossa on maininta This folder, subfolders and files. Tämä on oikeuksien määrittelyssä vielä yksi tapa rajoittaa oikeuksia. Tässä on määritelty, että oikeudet koskevat tätä hakemistoa, tämän hakemiston alihakemistoja ja kaikkia näissä hakemistoissa olevia tiedostoja. Määrittelyn voi tehdä kaikilla mahdollisilla tavoilla. Mahdollisuuksia on kaikkiaan seitsemän ja kaikki mahdollisuudet kolmen vaihtoehdon (hakemisto, alihakemisto, tiedosto) osalta ovat käytettävissä. Miten sitten pitäisi menetellä, jos nuo periytyneet oikeudet eivät tyydytä. Yksi vaihtoehto on, että muutetaan oikeuksia C: -aseman juuressa, mutta silloin oikeudet muuttuisivat kaikissa alihakemistoissa, joissa periytyminen on käytössä. Jos oikeuksia tarvitaan jollekin ryhmälle enemmän, niin ratkaisu on, että lisätään ko. ryhmä kyseiseen hakemistoon ja an-
ICT1TN002 8/23 netaan sille tarvittavat lisäoikeudet. Entä jos oikeuksia pitäisi vähentää joltakin ryhmältä? Lisätäänkö ryhmä ja määritellään kyseiselle oikeudelle Deny? Aikaisemmin mainittiin, että kieltämistä pitää välttää ja tässä tilanteessa ratkaisu onkin periytymisen poistaminen. Kun periytymisen poistaa ottamalla täpän pois (kun ensin on tehty Change Permissions. valinta), niin aukeaa seuraava ikkuna Ongelmana on siis nyt se, mitä tehdään oikeuksille, jotka olivat periytyneenä kyseiselle hakemistolle. Vaihtoehtoja ovat lisääminen (Add), poistaminen (Remove), vai unohdetaanko koko juttu (Cancel). Lisääminen (Add) tarkoittaa, että nykyisen vanhemman oikeudet kopioidaan tähän hakemistoon tai tiedostoon ikään kuin lisäykseksi, tai pohjaksi, joita voi sitten edelleen muokata. Periytyneitä oikeuksiahan ei voi muuttaa siellä, mihin ne ovat periytyneet ja siitä syystä ne näyttäytyvätkin harmaapohjaisina oikeuksina. Poistaminen (Remove) tarkoittaa, että vanhemmalta perityt oikeudet poistetaan ja jäljelle jää silloin tälle objektille mahdollisesti yksilöllisesti määritellyt oikeudet. Jos mitään muita määrityksiä ei ole kuin perityt, ei jäljelle jää mitään ja sellaisessa tilanteessa käyttöjärjestelmä voi varoittaa, että kellään ei ole enää oikeuksia. Peruuttaminen (Cancel) tarkoittaa, että ei tehdä mitään muutoksia. Periytyminen tapahtuu vanhemmalta lapselle, ja määrittelyikkunassa ei olekaan levyn juuressa lainkaan mainintaa periytymisestä, koska kyseisellä juuriobjektilla ei ole periytymiseen vaikuttavaa vanhempaa. Kun periytyminen on poistettu hakemistolta, niin luotaessa tällaiselle hakemistolle alihakemistoa, on kyseisessä alihakemistossa taas oletuksena periytyminen voimassa. Alihakemisto saa siis oikeutensa periytymällä yläpuolellaan olevalta vanhemmaltaan. Periytyminen on siis vain katkaistu "vanhemman" hakemiston kohdalta. Hakemiston tai tiedostoon liittyvät erilaiset oikeudet saa selville välilehden Effective Permissions avulla. Sen jälkeen voi valita ryhmän tai käyttäjän, jonka suhteen oikeudet haluaa tarkistaa. Lisäksi on huomioitava, että mikäli hakemisto tai tiedosto kopioidaan (copy) paikasta toiseen, tulee kopioinnin lopputuloksena samat oikeudet mitä kohteessa on määritelty eivätkä alkuperäiset oikeudet ennen kopiointia vaikuta. Tämä hoidetaan juuri periytymisen avulla: vanhat määrittelyt poistetaan ja periytyminen laitetaan päälle. Sama pätee myös,
ICT1TN002 9/23 mikäli hakemisto tai tiedosto siirretään. Näin ei ole ollut aina. Ennen Vistaa, esimerkiksi XP:ssä, siirrettäessä (move) oikeudet siirtyivät mukana, kun siirto tehtiin saman osion sisällä! 1.5 Käyttäjien kotihakemistot Käyttöjärjestelmä luo systeemilevyn juureen, yleensä C:\, hakemiston Users, joka on tarkoitettu käyttäjien tiedostojen ja henkilökohtaisten asetusten tallettamiseen. Kun käyttäjä kirjautuu koneelle ensimmäistä kertaa omalla tunnuksellaan, hänelle luodaan oma hakemisto omalla käyttäjätunnuksellaan. Kuten seuraavasta kuvasta vasemmalla näkyy, ovat käyttäjät Admin ja esier kirjautuneet koneelle ja heillä on oma hakemistonsa. Kuvasta voi myös päätellä, että Administrator tunnuksella ei ole koneelle koskaan vielä kirjauduttu, koska kyseisen nimistä hakemistoa ei näy. Asia ei tosin ole ihan näin yksioikoinen, koska näkyminen riippuu oikeuksista, joita varsinkin Administrator käyttäjän on helppo muuttaa. Mutta mikäli oikeudet ovat oletusasetusten mukaisia, niin Administrator tunnusta ei ole käytetty. Lisäksi ota huomioon, että kuvissa resurssienhallinnan (Windows Explorer) oletusasetuksia on muutettu siten, että mitään tietoja ei piiloteta. Hakemistorakenteeseen tehtiin XP:stä Vistaan siirryttäessä suuria muutoksia ja esimerkiksi hakemisto Users oli XP:ssä hakemisto Documents and Settings. Kuten kuvassa vasemmalla näkyykin, niin hakemisto Documents and Settings on edelleen olemassa, mutta sen ikonissa on lukon kuva, joka viittaa siihen, että hakemisto ei ole oikea hakemisto. Kyseessä onkin ainoastaan liittymä (junction) nykyiseen hakemistoon Users, ja täten saadaan aikaan yhteensopivuus vanhojen ohjelmistojen osalta.
ICT1TN002 10/23 Kuvassa oikealla näkyy Admin -käyttäjän omassa hakemistossa olevia alihakemistoja, kuten My Documents, joka on itse asiassa kahteen kertaan ja toisen hakemiston ikonissa on nuoli, joka viittaa tuohon samaan liittymiseen kuin Documents and Settings hakemiston osaltakin. Kun hakemisto oli kerran XP:ssä nimellä My Documents, niin miksi se on täällä kahteen kertaan? Vistassa tuo hakemiston nimi muutettiin nimeksi Documents ja tuon yhteensopivuuden takia tarvittiin tuo linkki My Documents, jota vanhat sovellusohjelmat tarjoavat tallennuksen yhteydessä oletuksena tallennushakemistoksi. Vaikka nyt näyttääkin siltä, että Vistassa käyttöön otettu hakemistonimi olisi muutettu takaisin nimeksi My Documents, niin siten ei kuitenkaan ole oikeasti tehty! Jos klikkaa Windows Explorerissa ylhäällä olevaa osoiteriviä, niin saa näkyviin hakemiston oikean polun, joka tässä tapauksessa on siis C:\Users\Admin\Documents. Alihakemistossa Desktop on käyttäjän henkilökohtainen osa työpöydän sisällöstä (oli XP:ssä samalla nimellä) Kuvassa vasemmalla näkyy hakemisto Public (oli XP:ssä nimellä All Users), jossa on kaikille käyttäjille yhteiset tiedostot ja asetukset. Esimerkiksi hakemistossa Public Desktop (oli XP:ssä hakemistossa All Users\Desktop) on kaikille käyttäjille yhteinen osa työpöydästä. Kuvassa näkyvä hakemisto Public Desktop on graafisessa ympäristössä näytetty samalla tavalla helpompilukuisena kuin edellä mainittu hakemisto Documents, ja hakemiston oikea nimi on pelkkä Desktop (C:\Users\Public\Desktop). Lisäämällä Windows Explorerissa Public sanan myös hakemiston nimen eteen, halutaan varoittaa käyttäjää siitä, että hakemiston sisältö näkyy muille käyttäjille ja on siis julkinen (Public). Lisäksi Users hakemistossa on alihakemisto Default (oli XP:ssä nimellä Default User). Tässä hakemistossa on ne asetukset, jotka käyttäjätunnus saa kirjautuessaan ensimmäistä kertaa järjestelmään. Tähän hakemistoon tehdyt muutokset eivät siis vaikuta muihin, jo kirjautuneisiin käyttäjiin. 1.6 Objektien omistaja Hakemistoihin ja tiedostoihin liittyy vielä sellainenkin tekijä kuin omistaja (Owner). Itse asiassa se liittyy kaikkiin objekteihin. Kaikilla objekteilla on joku omistaja. Hakemistojen ja tiedostojen osalta omistaja on se, joka on sen luonut. Käyttöjärjestelmän luodessa jotakin, omistajaksi tulee yleensä Administrator. Omistajalla on yksi erikoispiirre ja se on se, että omistaja voi aina määritellä oikeudet haluamikseen. Eli käytännössä käyttäjä voi ottaa itseltään kaikki oikeudet pois, mutta saa määriteltyä ne takaisin omistajana. Omistajuuden voi myös ottaa itselleen (Take Ownership), jos siihen on oikeus Full Controllin kautta (katso kuva sivulla 4). Administratorilla on kuitenkin aina oikeus ottaa omistajuus itselleen. Vistasta lähtien on ollut myös mahdollisuus siirtää omistajuus toiselle, näin ei aikaisemmin ole voinut tehdä. Oikeuksien määräytymiseen vaikutti, kun objekti kopioitiin tai siirrettiin paikasta toiseen. Omistajuuteen ei vaikuta se, kopioidaanko tai siirretäänkö kohde jonnekin, jos toimenpide tehdään paikallisesti. Tällöin omistajuus aina säilyy. Sen sijaan omistaja muuttuu, mikäli toimenpide tehdään verkon yli. Kuvassa sivulla 7 näkyy välilehti Owner. Mikäli tunnuksella ei ole oikeuksia hakemistoon, voi Owner välilehti näyttää seuraavalta:
ICT1TN002 11/23 Kuten kuvasta näkyy, Administrators ryhmään kuuluvalla tunnuksella Admin ei ole tässä tapauksessa oikeutta edes nähdä, kuka on hakemiston omistaja. Hänellä on kuitenkin oikeus ottaa omistajuus itselleen, joko käyttäjätunnukselle Admin tai käyttäjäryhmälle Administrators. Lisäksi on vaihtoehto Other users or groups, jolla omistajuuden esimerkiksi voi palauttaa, jos sen on ottanut aikaisemmin itselleen. Kun omistajuus otetaan, kaikki aikaisemmat oikeusmäärittelyt katoavat ja omistajuuden ottajalle annetaan täydet oikeudet. Lisäksi otetaan periytyminen käyttöön. 1.7 Windows 7:n hakemistojen jakaminen verkkoon Aikaisemmassa harjoituksessa jaettiin eri koneiden välillä hakemistoja toisten käyttöön käyttäen Windows 7:n uutta ominaisuutta HomeGroup. Perinteisesti on aina voinut määritellä minkä tahansa hakemiston muiden käyttöön myös verkon kautta toisille koneille ja seuraavassa käydään läpi miten asia on toteutettu yritysympäristössä, jossa toimialueelle liitetyssä työasemassa ei voi edes käyttää HomeGroup ominaisuutta. Jaon voi tehdä monella eri tavalla, mutta tutustutaan ensin perinteiseen tapaan, koska siten saadaan parhaiten käsitys siitä, mistä oikein on kysymys. Perinteinen, palvelimissa oletuksena oleva tapa, on työasemissa oletuksena otettu pois käytöstä. Sen saa käyttöön, kun Windows Explorerin asetuksia Folder Options ikkunassa (valitse Organize -> Folder and search options -> View) muuttaa
ICT1TN002 12/23 Ottamalla täpän pois asetuksesta Use Sharing Wizard, päästään käyttämään Windows Explorerissa perinteistä manuaalista tapaa, jossa kaikki asetukset voidaan muuttaa yksitellen. Perinteisessä manuaalisessa tavassa otetaan Windows Explorerissa jaettavan hakemiston pikavalikko ja valitaan Properties. Tässä tavassa on se hyvä puoli, ettei tarvitse arvuutella, mitä itse asiassa tuli määriteltyä.
ICT1TN002 13/23 Properties ikkunan Sharing välilehdellä on valinta Advanced Sharing, josta päästään jatkamaan jakamista. Nimi, jolla hakemisto jaetaan, on oletuksena hakemiston oma nimi, mutta sen voi muuttaa, tässä asennus hakemisto on jaettu nimellä ajurit. Edellä olevassa ikkunassa on myös valinta Permissions. Oletuksena suostutaan antamaan Everyone ryhmälle Read oikeudet. Mistä on kyse?
ICT1TN002 14/23 Kaikilla NTFS tiedostojärjestelmän hakemistoilla on jokin Security oikeusmäärittely, joka koskee paikallisia käyttäjiä. Nyt kuitenkin jaettua hakemistoa käytetään verkon yli ja Windowsissa on haluttu, että verkon yli oikeuksia voitaisiin rajoittaa, jos tarvetta on. Oletuksena annetaan vain lukuoikeudet. Lopulliset oikeudet, kun hakemistoa käytetään verkosta, määritellään seuraavasti: Ensin annetaan oikeudet Permissions asetusten mukaan (= maksimi oikeudet) Tämän jälkeen tarkistetaan oikeudet hakemiston Security välilehdeltä ja mikäli täällä rajoitetaan oikeuksia lisää, niin ne otetaan käyttöön. Aikaisemmin Windowsissa oli oletuksena Permissions asetukset Everyone ryhmälle Full Control. Koska käyttäjät jakoivat omia hakemistojaan verkkoon tietämättä mitä tekivät, niin tilanteesta tuli tietoturvariski. Microsoft muutti oletusasetuksia niin, ettei kirjoitusoikeutta oletuksena ole ja näin mahdollinen tunkeutuja ei voi tallettaa mitään tiedostoja koneelle. Siinä vaiheessa kun oikeasti haluaa jakaa hakemiston, niin paras toimintatapa on se, että Security oikeudet määritellään ensin kuntoon ja sen jälkeen hakemiston voi jakaa Permissions asetuksella Everyone ryhmälle Full Control. Nyt kaikki muutokset oikeuksiin tehdään yhdestä paikkaa, Security välilehdeltä ja Permissions asetukset voi unohtaa.. Ainoa poikkeus on FAT tiedostojärjestelmä, koska siellä ei Security asetuksia ole. Ainoa tapa silloin on käyttää Permissions asetuksia, joita on siis vain nuo kolme vaihtoehtoa. Käyttäjäryhmän voi kuitenkin valita täälläkin. Miten jaetun hakemiston sitten saa käyttöönsä toiselta koneelta? Graafinen tapa on esimerkiksi Start -valikosta valita Computer pikavalikosta vaihtoehto Map network drive, jolloin aukeaa seuraava ikkuna Jaetun hakemiston käyttöönotosta käytetään puhekielessä sanontaa mappaus. Määrittely Drive tarkoittaa kiintolevytunnusta, jolla jaettu hakemisto näkyy mappauksen jälkeen Windows Explorerissa ja sitä voi käyttää samalla tavalla kuin paikallisia levytunnuksiakin (kuvassa Z:). Folder määrittely kertoo, minkä koneen ja mikä hakemisto sieltä halutaan mapata. Vihjeenä on annettu esimerkki \\server\share.
ICT1TN002 15/23 Tuossa vihjeessä on mainittu server ja nyt olemme ottamassa jakoa käyttöön työasemalta emmekä palvelimelta. Oikeastaan server tarkoittaa koneen nimeä, eikä sillä ole merkitystä, onko kyseessä palvelin vai työasema, kunhan nimi on oikein. Nimenä voi käyttää myös ip-osoitetta. Share tarkoittaa vuorostaan sitä nimeä (Share name), joka jaettaessa hakemistoa sille määriteltiin. Se ei siis välttämättä ole sama kuin hakemiston oikea nimi tiedostojärjestelmässä. Asetuksessa Reconnect at logon on itse asiassa oletuksena täppä valmiina ja tällöin käyttöjärjestelmä muistaa tehdyn mappauksen ja yrittää ottaa tuohon koneeseen yhteyttä käyttäjän kirjautumisen yhteydessä. Mikäli kone (joko oma tai kohdekone) ei ole verkossa, saattaa kirjautuminen kestää yllättävän kauan. Kirjautuminen nimittäin jatkuu vasta sitten, kun käyttöjärjestelmä tulee siihen tulokseen, ettei mappaus sittenkään onnistu. Täppä kannattaa siis poistaa, yleensä. Kun valitaan lopuksi Finish, niin kysytään mahdollisesti tarvittavaa tunnusta ja salasanaa, joka jaetun hakemiston käyttöön tarvitaan. Tunnuksen ja salasanan voi myös antaa etukäteen laittamalla täppä valintaan Connect using different credentials. Different tarkoittaa sitä, että muutoin mappausta yritetään käyttöjärjestelmän toimesta automaattisesti sillä tunnuksella ja salasanalla, jolla mappausta tekevä on kirjautunut omalle koneelleen. Jos tuo tunnus ja salasana ei kohdekoneelle kelpaa, niin silloin vasta kysytään muuta tunnusta ja salasanaa. Windowsissa on perinteisesti jaettu kaikkien kiintolevyosioiden juuri piilotettuna administrators ryhmälle täysin oikeuksin. Piilottaminen tarkoittaa sitä, että jako ei näy verkkoa selatessa. Verkon selaamisen voi tehdä esimerkiksi yllä olevassa kuvassa painikkeella Browse, mutta koska tulos on hitaanlainen, niin yleensä kannattaa kirjoittaa tarvittavat tiedot, jos ne vain ovat selvillä. Piilotetun jaon saa tehtyä, laittamalla jaon nimen perään $ -merkki. Osion juuri on oletuksena Windowsissa jaettu osion kiintolevytunnuksella, esimerkiksi C$ (kaksoispistettä ei ole). Jaon saa siis käyttöönsä nimellä c$. Windows 7:ssä tilanne on sama kuin aikoinaan XP:ssä eli mappaamisessa ei ole mitään erikoista. Vistassa sen sijaan tilanne oli varsin erikoinen, sillä jako ei ollut käytettävissä, jos UAC oli käytössä, paitsi toimialueelle liitetyssä koneessa. Työryhmässä ei myöskään itse voinut osion juurta jakaa ko. nimellä, koska nimi oli jo käytössä. Jonkun muun nimen käyttäminen oli tietysti mahdollista. Piilotetun c$ jaon sai kuitenkin Vistassakin käyttöön valmiilla administrator tunnuksella (tällä tunnuksellahan UAC ei ole käytössä). Myös komentotulkkia voi käyttää mappaamiseen, komento on silloin NET USE drive: \\server\share name Kaikki tehdyt jaot saa näkyviin Computer Management työkalulla.
ICT1TN002 16/23 Yllä olevassa kuvassa kaikki muu on jaettu oletuksena paitsi hakemisto c:\h7. Palataampa takaisin tuohon jaon määrittelemiseen. Oletuksena Folder Options asetuksissa oli täppä kohdassa Use Sharing Wizard. Kun näin on, hakemiston pikavalikosta löytyy valinta Share with -> Specific people, jolloin aukeaa ikkuna Täällä voi lisätä ryhmän Everyone (ei muita ryhmiä!) tai käyttäjän ja määritellä joko Read tai Read/Write oikeudet tai poistaa jo tehdyn määrityksen. Mitä todellisia muutoksia tapahtuu Permissions ja Security asetuksiin, sitä ei täällä suositellulla (Recommended) menettelytavalla kerrota. On vielä kolmaskin tapa! Tuossa Computer Management ikkunassa, josta näkee nuo kaikki tehdyt jaot, Shared Folders -> Shares säiliön pikavalikosta New Share aukeaa seuraavanlainen Wizard:
ICT1TN002 17/23 Avautuvassa ikkunassa kerrotaan, että Windowsin oman palomuurin asetukset muutetaan siten, että jako on muiden koneiden käytettävissä. Oletuksena palomuuri estää tuon. Noissa muissakin edellä kerrotuissa menetelmissä tilanne on sama, vaikka sitä ei missään asetusikkunassa kerrottukaan. Täällä oikeudet voi valita valmiista vaihtoehdoista, tosin kustomoitu vaihtoehtokin on käytettävissä. Lisäksi täällä on kerrottu, että nuo oikeusmäärittelyt koskevat vain Permissions oikeuksien määrittelyä. Security asetuksiin ei puututa, vaan niiden oletetaan olevan valmiiksi oikein määriteltyinä. 1.8 Paikalliset turvallisuusasetukset Jos haluat samalla kun luet tätä teoriaosuutta tutkia seuraavia määrityksiä Windowsissa, niin kirjaudu sisään Administrators ryhmään kuuluvalla tunnuksella.
ICT1TN002 18/23 Koska käyttäjiä on esimerkiksi lähes mahdotonta saada käyttämään kunnollisia salasanoja, niin ongelman ratkaisuksi ovat olemassa paikalliset turvallisuusasetukset (Local Security Policy), joiden avulla esimerkiksi salasanojen osalta voidaan määritellä erilaisia menettelytapoja eri tilanteisiin. Kun kirjoittaa hakusanan Security Start Search hakukenttään, niin vastauksena löytyy Local Security Policy. Työkalu löytyy myös polusta Start -> Control Panelin -> System and Security -> Administrative Tools -> Local Security Policy. Täällä voidaan määritellä kaikille yhteiset salasanakäytännöt (Account Policies). Asetukset jakaantuvat kahteen osaan, jotka ovat Password Policy ja Account Lockout Policy. Password Policy:ssä voidaan määritellä mm. mikä on salasanan minimipituus, kuinka usein salasana pitää vähintään vaihtaa ja montako vanhaa salasanaa järjestelmä muistaa, jottei käyttäjä vaihtaisi samaa salasanaa heti takaisin. Account Lockout Policy:ssä sen sijaan määritellään miten salasana lukkiutuu virheellisten yritysten jälkeen. Tämä on erittäin hyödyllinen ominaisuus, koska huononkaan salasanan arvaaminen esimerkiksi 10 yrityksellä on kuitenkin lähinnä onnea. Kun muutoksen tekee, ehdottaa käyttöjärjestelmä muutoksia lukkiutuneen tunnuksen vapautumiseen. Voidaan määritellä miten salasana avautuu lukkiutumisen jälkeen ja minkä ajan-jakson jälkeen virhelaskuri nollataan. Hyvä vaihtoehto on, että avautumisajan laittaa nollaksi (0), joka ei tarkoita, että salasana vapautuu heti lukituksesta, vaan että se ei vapaudu ollenkaan ilman Administratorin toimenpiteitä. Virhelaskurin nollautuminen tarkoittaa sitä, että mikäli salasanaa ei anneta väärin niin monta kertaa, että tunnus lukkiutuisi, niin määritellyn ajan jälkeen virhelaskuri on jälleen nolla ja käyttäjällä on taas maksimimäärä kokeiluja käytettävissään.
ICT1TN002 19/23 Kun lukkiutuneen tunnuksen avaamiseen tarvitaan järjestelmän ylläpitäjää, niin hän saa lukkiutumisesta tiedon ja voi selvittää käyttäjän kanssa minkälaisesta ongelmasta on kyse. Asetus parantaisi siis tietoturvaa huomattavasti ja valitukset huonoista salasanoista voitaisiin suuremmilta osin unohtaa, kun muilla määrityksillä kaikkein onnettomimmat valinnat olisi vielä estetty. Syy, miksi lukkiutumis-vaihtoehtoa ei käytetä, on pelko ylläpidon työn lisääntymisestä tunnusten lukkiutumisen takia ja se, ettei käyttäjä pääsisi järjestelmään ennen kuin tunnus olisi taas saatu käyttöön. Lisäksi pitää ottaa huomioon, että erikseen luotu käyttäjätunnus, joka on Administrators ryhmän jäsen, voi mennä myös lukkoon. Asetus, jossa tunnus avautuu vasta, kun järjestelmän ylläpitäjä sen vapauttaa, voi aiheuttaa ongelmia, mikäli Administrators ryhmässä on vain yksi tunnus. Mikäli tuo tunnus menee lukkoon, sitä ei voi enää vapauttaa. Sen sijaan valmiiksi luotu Administrator tunnus ei voi lukkiutua, mutta oletuksena tuo tunnus on otettu pois käytöstä (Disabled). 1.9 Paikalliset oikeusasetukset Lisäksi on suuri joukko erilaisia muita oikeuksia, joita käyttäjille voidaan määritellä. Kuten kuvasta näkyy, niin Guest tunnukselta on poistettu oikeus paikalliseen kirjautumiseen (Deny logon locally). Oikeus kirjautumiseen on toisaalta kuitenkin annettu kaikille, myös Guest tunnukselle (Log on locally). Deny määritys menee tässäkin edelle. 1.10 Paikalliset turvallisuusominaisuudet Paikallisia turvallisuusominaisuuksiakin on iso joukko ja katsotaan vähän tarkemmin tuon UAC:n asetuksia.
ICT1TN002 20/23 Kun valitsee jonkin asetuksen Properties ikkunan ja sieltä välilehden Explain niin saa lyhyen kuvauksen kyseisestä ominaisuudesta. Esimerkiksi yllä olevan kuvan viimeinen asetus Virtualize file and registry write failures to per-user locations merkitys on seuraava: Eli aikaisemmin Windows XP:ssä jokin ohjelma saattoi vastoin hyviä käytäntöjä tallettaa tietoja joko ohjelman alihakemistoon hakemistossa Program Files tai rekisteritietokantaan vastaavaan paikkaan. Tavallisella käyttäjällä tällaista kirjoitusoikeutta ei ole, jolloin kyseisen ohjelman ajaminen ei tavallisella käyttäjätunnuksella onnistunut. Nyt Windows 7:ssä (ja jo Vistassakin) nämä kirjoitukset osoitetaan käyttäjän omaan kotihakemistoon, johon luodaan tarvittava virtuaalinen kohde, jolloin ohjelma luulee kaiken olevan kunnossa. Tämän ominaisuuden voi siis ottaa pois käytöstä, jolloin tällaisten ohjelmien ajaminen onnistuu vain Administrator-oikeuksin, kuten ennenkin oli asian laita XP:ssä.
ICT1TN002 21/23 1.11 Ryhmäkäytännöt Windowsissa on mahdollista määritellä käyttöjärjestelmän käyttäytymistä ryhmäkäytännöillä (Group Policy). Ryhmäkäytännöt on oikeastaan tarkoitettu toimialueelle, jossa on palvelin, joka huolehtii käyttäjien kirjautumisesta ja myös ryhmäkäytäntöasetuksista. Toimialueella kaikki käyttäjätunnukset on talletettu palvelimelle ja työasemassa on tiedoista vain kopio siltä varalta, ettei yhteyttä toimialueelle saada. Tämä tilanne on tyypillinen silloin, kun käytetään kannettavia tietokoneita. Myös ryhmäkäytäntömäärittelyt sijaitsevat palvelimella ja niistäkin on vain kopio työaseman paikallisella kiintolevyllä. Tällöin kaikki asetusmuutokset voidaan tehdä palvelimella ja tiedot päivittyvät työasemiin, kun ne ottavat yhteyttä toimialueeseen esimerkiksi käyttäjän kirjautuessa järjestelmään. Ryhmäkäytännöillä voidaan vaikuttaa lähes kaikkiin ominaisuuksiin Windowsissa. Ryhmäkäytäntö-editorin voi käynnistää Start -> Start Search -> gpedit.msc ja valitse löytynyt ohjelma. Avautuvasta ikkunasta näkyy, että ryhmäkäytännöt jakautuvat Computer Configuration ja User Configuration osiin. Tietokoneen määrityksissä on asioita, jotka liittyvät koneen toimintaan, esimerkiksi määritykset siitä, mitä tehdään, kun kone käynnistetään tai sammutetaan (StartUp/ShutDown). Käyttäjäpuolen määrityksissä on kyse käyttäjiin liittyvistä asioista, esimerkiksi määritykset siitä, mitä tehdään, kun käyttäjä kirjautuu järjestelmään tai siitä ulos (LogOn/LogOff). Tietokoneen asetuksia on paljon ja esimerkiksi Internet Explorerille seuraavanlaisia:
ICT1TN002 22/23 Ryhmäkäytännöistä voi joskus olla hyötyä jonkin pienen ärsyttävän ominaisuuden hallinnassa, mutta suurin merkitys niillä on yrityskäytössä, jossa työntekijöille saadaan työasemiin määriteltyä ympäristö, jonka ylläpitäminen onnistuu järkevillä resursseilla. Käyttäjää koskevia asetuksia on myös aloittelijalle runsaanlaisesti
ICT1TN002 23/23 Paikallisissa asetuksissa ei ole suurta merkitystä tuolla mahdollisuudella määritellä asetuksia eri koneille tai käyttäjille. Paikallisesti on vain yksi kone (paikallinen). Toimialueella koneet voidaan jakaa esimerkiksi pöytäkoneisiin ja kannettaviin, joille voidaan määritellä erilaiset asetukset. Käyttäjätunnuksissa tilanne on sama, kaikki asetukset koskevat paikallisia käyttäjiä eikä asetuksia voida määritellä edes käyttäjäryhmäkohtaisesti. Asetukset koskevat siis yhtälailla pääkäyttäjää (Administrators ryhmän jäseniä) kuin tavallista käyttäjääkin (Users ryhmän jäseniä). Tuosta pääkäyttäjää koskevasta ominaisuudesta johtuu, että asetuksissa on mahdollista määritellä sellainen tilanne, ettei sitä enää voi palauttaa takaisin. Tuollaisessa tilanteessa ei siis auta, vaikka pääkäyttäjän tunnuksia olisi useampi. Tavallinen käyttäjätunnus (Users ryhmään kuuluva) ei voi muuttaa ryhmäkäytäntöjä.