Zugriffssteuerung (Übersicht)

Betrifft: Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

In diesem Thema für IT-Experten beschreibt Zugriffskontrolle in Windows, das den Prozess der Autorisierung von Benutzern, Gruppen und Computer, den Zugriff auf Objekte auf dem Computer oder im Netzwerk. Wichtige Konzepte, die Zugriffskontrolle bilden, sind die Berechtigungen, den Besitz von Objekten, die Vererbung von Berechtigungen, Benutzerrechte und Überwachung von Objekten.

Featurebeschreibung

Computer, auf dem eine unterstützte Version von Windows ausgeführt werden, können die Verwendung von System-und Netzwerkressourcen mithilfe der zusammenhängenden Mechanismen der Authentifizierung und Autorisierung steuern. Nachdem ein Benutzer authentifiziert ist, verwendet Windows-Betriebssystem integrierte Autorisierung und zugriffssteuerungstechnologien, um die zweite Phase des Ressourcenschutzes zu implementieren: bestimmen, ob ein authentifizierter Benutzer die richtigen Berechtigungen für den Zugriff auf eine Ressource verfügt.

Freigegebene Ressourcen stehen außer dem Besitzer der Ressource auch Benutzern und Gruppen zur Verfügung und müssen vor nicht autorisierter Nutzung geschützt werden. In das Zugriffssteuerungsmodell werden Benutzer und Gruppen (auch als Sicherheitsprinzipale bezeichnet) durch eindeutige Sicherheits-IDs (SIDs) dargestellt. Sie werden zugewiesen, Rechte und Berechtigungen, die dem Betriebssystem mitgeteilt, was die einzelnen Benutzer und Gruppen tun kann. Jede Ressource hat einen Besitzer, der den Sicherheitsprinzipalen Berechtigungen erteilt. Bei der Zugriffssteuerungsprüfung werden diese Berechtigungen überprüft, um zu ermitteln, welche Sicherheitsprinzipale wie auf die Ressource zugreifen dürfen.

Sicherheitsprinzipale führen Aktionen (Lesen, schreiben, ändern oder Vollzugriff) für Objekte. Zu den Objekten zählen Dateien, Ordner, Drucker, Registrierungsschlüssel und AD DS-Objekte (Active Directory-Domänendienste). Freigegebene Ressourcen verwenden Zugriffssteuerungslisten (ACLs) Berechtigungen zuweisen. Dadurch können Ressourcen-Manager zum Erzwingen einer Zugriffssteuerung auf folgende Weise:

• Verweigern des Zugriffs auf nicht autorisierte Benutzer und Gruppen

• Festlegen von klar definierten Grenzen für den Zugriff, der autorisierten Benutzern und Gruppen gewährt wird

Objektbesitzer erteilen im Allgemeinen eher Sicherheitsgruppen Berechtigungen als einzelnen Benutzern. Benutzer und Computer, die vorhandenen Gruppen hinzugefügt werden, übernehmen die Berechtigungen dieser Gruppe. Wenn ein Objekt (wie etwa ein Ordner) andere Objekte (wie Unterordner und Dateien) enthalten kann, wird er als Container bezeichnet. In einer Hierarchie von Objekten wird die Beziehung zwischen einem Container und dessen Inhalt durch einen Verweis auf den Container als übergeordnetes Element angegeben. Ein Objekt im Container als untergeordnetes Element bezeichnet wird, und das untergeordnete Element erbt, das die zugriffssteuerungseinstellungen des übergeordneten Elements. Objektbesitzer definieren häufig Berechtigungen für Containerobjekte statt für einzelne untergeordnete Objekte, um die Verwaltung der Zugriffssteuerung zu erleichtern.

Dieser Inhalt enthält:

• Dynamische Zugriffssteuerung: Übersicht

• Technische Übersicht über Sicherheits-IDs

• Technische Übersicht über Security Principals

  • Lokale Konten

  • Active Directory-Konten

  • Microsoft-Konten

  • Dienstkonten

  • Active Directory-Sicherheitsgruppen

Praktische Anwendung

Die unterstützte Version von Windows-Administratoren können die Anwendung und Verwaltung der Steuerung des Zugriffs auf Objekte und Subjekte, um die folgenden Sicherheit gewährleisten optimieren:

• Schützen Sie eine größere Anzahl und Vielfalt von Netzwerkressourcen vor Missbrauch.

• Bereitstellen von Benutzern Zugriff auf Ressourcen in einer Weise, die Unternehmensrichtlinien und die Anforderungen ihrer Arbeit entspricht.

• Ermöglichen Sie es Benutzern, von unterschiedlichen Geräten an unterschiedlichen Standorten auf Ressourcen zuzugreifen.

• Aktualisieren Sie Fähigkeit der Benutzer zum Zugriff auf Ressourcen in regelmäßigen Abständen, ändern Sie die Richtlinien eines Unternehmens oder Aufgaben ändern.

• Konto für eine wachsende Zahl von Anwendungsszenarien (wie Zugriff von Remotestandorten oder schnell wachsenden verschiedener Geräte wie Tablet-PCs und Mobiltelefone).

• Erkennen und beheben Sie Zugriffsprobleme, wenn berechtigte Benutzer auf Ressourcen nicht zugreifen können, die sie für ihre Arbeit benötigen.

Berechtigungen

Berechtigungen definieren die Art des Zugriffs, der gewährt wird, um einen Benutzer oder eine Gruppe für ein Objekt oder eine Objekteigenschaft. Beispielsweise kann die Finance-Gruppe Berechtigungen zum Lesen und Schreiben für die Datei Payroll.dat erteilt werden.

Mithilfe von Access Control-Benutzeroberfläche können Sie die NTFS-Berechtigungen für Objekte wie Dateien, Active Directory-Objekte, Registrierungsobjekte oder Systemobjekte wie z. B. Prozesse festlegen. Berechtigungen können Benutzer, Gruppe oder Computer erteilt werden. Es empfiehlt sich, Gruppen Berechtigungen zuzuweisen, da es die Leistung des Systems verbessert, bei der Überprüfung der Zugriff auf ein Objekt.

Für jedes Objekt können Sie Berechtigungen erteilen:

• Gruppen, Benutzer und andere Objekte mit Sicherheits-IDs in der Domäne.

• Gruppen und Benutzern in dieser Domäne und allen vertrauenswürdigen Domänen

• Lokale Gruppen und Benutzer auf dem Computer, auf dem sich das Objekt befindet.

Die Berechtigungen, die an ein Objekt angefügt, abhängig von den Typ des Objekts ab. Beispielsweise sind die Berechtigungen, die an eine Datei angefügt werden können abweichen, die einem Registrierungsschlüssel zugeordnet werden kann. Einige Berechtigungen gelten jedoch für die meisten Arten von Objekten. Dies sind folgende Berechtigungen:

• Lesen

• Ändern

• Änderungsbesitzer

• „Löschen“

Wenn Sie Berechtigungen festlegen, geben Sie die Zugriffsstufe für Gruppen und Benutzer. Beispielsweise können Sie ein Benutzer den Inhalt einer Datei lesen, können einen anderen Benutzer ändern Sie die Datei und verhindern, dass alle anderen Benutzer Zugriff auf die Datei. Sie können ähnliche Berechtigungen für Drucker festlegen, damit bestimmte Benutzer den Drucker konfigurieren können, und andere Benutzer können nur drucken.

Wenn Sie die Berechtigungen für eine Datei ändern müssen, können Sie Windows-Explorer ausführen, mit der rechten Maustaste in des Dateinamens und auf Eigenschaften. Auf der Security Registerkarte können Sie Berechtigungen für die Datei ändern. Weitere Informationen finden Sie unter Verwalten von Berechtigungen.

Besitz von Objekten

Ein Objekt ist einem Besitzer zugewiesen, wenn das Objekt erstellt wird. Standardmäßig ist der Besitzer der Ersteller des Objekts. Unabhängig davon, welche Berechtigungen für ein Objekt festgelegt werden kann der Besitzer des Objekts immer die Berechtigungen ändern. Weitere Informationen finden Sie unter verwalten.

Vererbung von Berechtigungen

Vererbung ermöglicht Administratoren einfach zuweisen und Verwalten von Berechtigungen. Dieses Feature wird automatisch die Objekte in einem Container die vererbbaren Berechtigungen des Containers erben. Beispielsweise erben die Dateien in einem Ordner die Berechtigungen des Ordners. Nur als vererbbar markierte Berechtigungen werden geerbt.

Benutzerrechte

Erteilen von Benutzerrechten bestimmte Rechte und Berechtigungen für Benutzer und Gruppen in der Umgebung. Administratoren können bestimmte Rechte Gruppenkonten oder einzelnen Benutzerkonten zuweisen. Diese Rechte autorisieren von Benutzern zum Ausführen bestimmter Aktionen, z. B. auf einem System interaktiv anmelden oder das Sichern von Dateien und Verzeichnissen.

Benutzerrechte unterscheiden sich von Berechtigungen, da Benutzerkonten Benutzerrechte und Berechtigungen mit Objekten verknüpft sind. Obwohl Benutzerrechte auf einzelne Benutzerkonten angewendet werden können, werden die Benutzerrechte auf Gruppenbasis Konto am besten verwaltet. Es gibt keine Unterstützung in Access Control-Benutzeroberfläche zum Erteilen von Benutzerrechten. Zuweisen von Benutzerrechten kann jedoch über verwaltet werden Lokale Sicherheitsrichtlinie.

Weitere Informationen zu Benutzerrechten finden Sie unter Zuweisen von Benutzerrechten.

Objekt-Überwachung

Mit Administratorrechten können Sie erfolgreiche oder fehlgeschlagene Benutzerzugriff auf Objekte überwachen. Sie können auswählen, welche den Objektzugriff zu überwachen, indem Sie mithilfe der Benutzeroberfläche von Access Control, aber Sie müssen zuerst die Überwachungsrichtlinie aktivieren, durch Auswahl Überwachung von Objektzugriffsversuchen unter Lokale Richtlinien in Lokale Sicherheitsrichtlinie. Sie können dann diese sicherheitsbezogenen Ereignisse im Sicherheitsprotokoll in der Ereignisanzeige anzeigen.

Weitere Informationen zur Überwachung finden Sie unter Sicherheitsüberprüfung: Übersicht.

Siehe auch

• Weitere Informationen zur Autorisierung und Zugriffskontrolle finden Sie unter Windows Security-Auflistung.

• Informationen zur Autorisierungsstrategie finden Sie unter Entwurf einer Ressourcenautorisierungsstrategie.