Omówienie kontroli dostępu

Dotyczy: Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

W tym temacie dla specjalistów IT opisano kontroli dostępu w systemie Windows, która jest to proces autoryzowania użytkowników, grup i komputerów, uzyskać dostęp do obiektów w sieci lub na komputerze. Podstawowe pojęcia związane z kontrolą dostępu to: uprawnienia, własność obiektów, dziedziczenie uprawnień, prawa użytkownika i inspekcja obiektów.

Opis funkcji

Komputery z uruchomioną obsługiwaną wersją systemu Windows można kontrolować użycie zasobów systemu i sieciowych za pośrednictwem powiązanych mechanizmów uwierzytelniania i autoryzacji. Po uwierzytelnieniu użytkownika systemu operacyjnego Windows używa wbudowane technologie kontroli dostępu i autoryzacji do wykonania drugiej fazy chroni zasoby: Ustalanie, czy uwierzytelniony użytkownik ma odpowiednie uprawnienia dostępu do zasobu.

Udostępnione zasoby są dostępne dla użytkowników i grup niż właściciela zasobu i muszą być chronione przed nieautoryzowanym użyciem. W modelu kontroli dostępu użytkownicy i grupy (nazywana także podmioty zabezpieczeń) są reprezentowane przez unikatowe identyfikatory zabezpieczeń (SID). Są przypisane prawa i uprawnienia, które informują systemu operacyjnego każdego użytkownika i grupy czynności. Każdy zasób ma właściciela, który przyznaje uprawnienia do podmiotów zabezpieczeń. Podczas sprawdzania kontroli dostępu te uprawnienia są sprawdzane w celu określenia, których podmioty zabezpieczeń mogą uzyskać dostęp do zasobu i sposób ich do niego dostęp.

Podmioty zabezpieczeń przeprowadzać (w tym odczytu, zapisu, Modyfikuj lub Pełna kontrola) na obiekty. Obiekty są pliki, foldery, drukarki, klucze rejestru i obiektów z usług domenowych w usłudze Active Directory (AD DS). Udostępnione zasoby Użyj listy kontroli dostępu (ACL), aby przypisać uprawnienia. Dzięki temu menedżerów zasobów wymusić kontroli dostępu w następujący sposób:

• Odmowa dostępu do nieautoryzowani użytkownicy i grupy

• Ustaw limity dobrze zdefiniowany dostępu, który został dostarczony do autoryzowanych użytkowników i grup

Właścicieli obiektów zazwyczaj udzielić uprawnień do grup zabezpieczeń, a nie do poszczególnych użytkowników. Użytkownicy i komputery, które są dodawane do istniejących grup Załóżmy, że uprawnienia tej grupy. Obiekt (np. foldery) może zawierać innych obiektów (takich jak pliki i podfoldery), jest nazywana kontenera. Hierarchia obiektów odwołując się do kontenera co element nadrzędny jest wyrażona w relacji między kontenerem i jego zawartości. Obiekt w kontenerze jest określany jako element podrzędny i podrzędna dziedziczy ustawienia kontroli dostępu, nadrzędnego. Właścicieli obiektów często zdefiniować uprawnienia dla obiektów kontenera, a nie obiekty podrzędne poszczególnych, aby ułatwić zarządzanie kontrolą dostępu.

Ten zestaw zawartości zawiera:

• Omówienie dynamicznej kontroli dostępu

• Opis techniczny identyfikatorów zabezpieczeń

• Opis techniczny podmiotów zabezpieczeń

  • Konta lokalne

  • Konta usługi Active Directory

  • Konta Microsoft

  • Konta usług

  • Grupy zabezpieczeń usługi Active Directory

Zastosowania praktyczne

Administratorzy mogą używać obsługiwana wersja systemu Windows można dostosować, aplikacji i zarządzanie kontroli dostępu do obiektów i przedmioty w celu zapewnienia bezpieczeństwa następujące:

• Chronić przed nieuprawnione użycie większej liczby i różnych zasobów sieciowych.

• Udostępnić użytkownikom dostęp do zasobów w sposób, który jest zgodny z zasady organizacyjne i wymagania dotyczące ich zadań.

• Umożliwia użytkownikom dostęp do zasobów z różnych urządzeń w wielu lokalizacjach.

• Aktualizacja użytkownikom dostęp do zasobów na bieżąco jako zasady organizacji zmienić lub jako zadania użytkowników.

• Konto do coraz scenariuszy użycia (na przykład dostęp z lokalizacji zdalnych lub szybko rozszerzającym różnych urządzeń, takich jak komputery tablety i telefony komórkowe).

• Identyfikację i rozwiązywanie problemów z dostępem, gdy nie mogą uzyskać dostępu do zasobów, które są im niezbędne do wykonywania swoich zadań uprawnionych użytkowników.

Uprawnienia

Uprawnienia definiują typ uprawnienia dostępu dla użytkownika lub grupy do obiektu lub właściwości obiektu. Na przykład grupie Finanse można udzielić uprawnienia odczytu i zapisu dla pliku wynagrodzenia.dat.

Za pomocą interfejsu użytkownika kontroli dostępu, można ustawić uprawnienia systemu plików NTFS dla obiektów, takich jak pliki, obiekty usługi Active Directory, obiekty rejestru lub obiekty systemowe, takie jak procesy. Można mu przyznać uprawnienia użytkownika, grupy lub komputera. Jest dobrym rozwiązaniem, aby przypisać uprawnienia do grup, ponieważ zwiększa wydajność systemu podczas weryfikacji dostępu do obiektu.

Dla dowolnego obiektu można udzielić uprawnień:

• Grupy użytkowników i innych obiektów z identyfikatorami zabezpieczeń w domenie.

• Grupy i użytkownicy w tej domenie i wszystkie zaufanych domen.

• Lokalnych grup i użytkowników na komputerze, na którym znajduje się obiekt.

Uprawnienia przyłączone do obiektu zależą od typu obiektu. Na przykład uprawnienia, które mogą być dołączone do pliku różnią się od tych, które mogą być dołączane do klucza rejestru. Jednak niektóre uprawnienia są wspólne dla większości typów obiektów. Te uprawnienia wspólnego są:

• Odczyt

• Modyfikowanie

• Zmień właściciela

• Usuń

Podczas ustawiania uprawnień należy określić poziom dostępu dla grup i użytkowników. Na przykład można pozwolić jednemu użytkownikowi odczytywanie zawartości pliku, zezwala użytkownikowi na wprowadzanie zmian do pliku i uniemożliwić wszystkim innym użytkownikom dostęp do pliku. Podobne uprawnienia można ustawiać drukarki, tak aby określeni użytkownicy mogli konfigurować drukarkę i innych użytkowników można drukować tylko.

Jeśli musisz zmienić uprawnienia do pliku, można uruchomić Eksplorator Windows, kliknij prawym przyciskiem myszy nazwę pliku i kliknij właściwości. Na zabezpieczeń karcie, można zmienić uprawnienia do pliku. Aby uzyskać więcej informacji, zobacz Zarządzanie uprawnieniami.

Własność obiektów

Podczas tworzenia obiektu do obiektu jest przypisany właściciel. Domyślnie właścicielem jest twórca obiektu. Niezależnie od tego, jakie uprawnienia są ustawione dla obiektu właściciel obiektu zawsze może zmienić uprawnienia. Aby uzyskać więcej informacji, zobacz Zarządzanie własnością obiektów.

Dziedziczenie uprawnień

Dziedziczenie umożliwia administratorom łatwe przypisywania uprawnień i zarządzania nimi. Funkcja ta automatycznie powoduje, że obiekty znajdujące się w kontenerze dziedziczą uprawnienia tego kontenera. Na przykład pliki w folderze dziedziczą uprawnienia folderu. Tylko uprawnienia oznaczone do dziedziczone będą dziedziczone.

Prawa użytkownika

Prawa użytkownika udzielają określonych przywilejów i praw logowania użytkownikom i grupom w środowisku komputerowym. Administratorzy mogą przypisywać określone prawa do grupy kont lub do poszczególnych kont użytkowników. Te uprawnienia zezwolić użytkownikom wykonywanie określonych zadań, takich jak interaktywnie zalogować się do systemu lub tworzenie kopii zapasowej plików i katalogów.

Prawa użytkownika różnią się od uprawnień, ponieważ prawa użytkowników dotyczą kont użytkowników i uprawnienia są skojarzone z obiektami. Chociaż prawa użytkowników można stosować do poszczególnych kont użytkowników, najlepiej administrować prawami użytkownika na podstawie konta grupy. Nie jest obsługiwane w interfejsu użytkownika kontroli dostępu, aby udzielić uprawnień użytkownika. Jednak można administrować Przypisywanie praw użytkownika za pośrednictwem Ustawienia zabezpieczeń lokalnych.

Aby uzyskać więcej informacji o uprawnieniach użytkownika, zobacz Przypisywanie praw użytkownika.

Obiekt, inspekcja

Z prawami administratora można przeprowadzić inspekcję pomyślnym lub niepomyślnym dostępu użytkowników do obiektów. Można wybrać do inspekcji za pomocą interfejsu użytkownika kontroli dostępu do których dostęp obiektu, ale najpierw należy włączyć zasady inspekcji przez wybranie inspekcji dostępu do obiektów pod Zasady lokalne w Ustawienia zabezpieczeń lokalnych. Można następnie wyświetlić zdarzeń zabezpieczeń w dzienniku zabezpieczeń w Podglądzie zdarzeń.

Aby uzyskać więcej informacji o inspekcji, zobacz Omówienie inspekcji zabezpieczeń.

Zobacz też

• Aby uzyskać więcej informacji o autoryzacji i kontroli dostępu, zobacz kolekcji zabezpieczeń systemu Windows.

• Aby uzyskać informacje o strategii autoryzacji, zobacz projektowania strategii autoryzacji zasobów.