Panoramica del controllo di accesso

Si applica a: Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

In questo argomento per i professionisti IT descrive il controllo di accesso in Windows, che è il processo di autorizzazione di utenti, gruppi e computer per accedere agli oggetti nella rete o nel computer. Concetti chiave che il controllo di accesso, sono proprietà degli oggetti, l'ereditarietà delle autorizzazioni, diritti utente e il controllo degli oggetti.

Descrizione delle funzionalità

I computer che eseguono una versione supportata di Windows possono controllare l'utilizzo delle risorse di sistema e della rete tramite i meccanismi di autenticazione e autorizzazione correlati tra loro. Dopo aver autenticato un utente, il sistema operativo Windows utilizza tecnologie di controllo di accesso e autorizzazione incorporate per implementare la seconda fase della protezione delle risorse: stabilire se un utente autenticato ha le autorizzazioni corrette per accedere a una risorsa.

Le risorse condivise sono a disposizione di utenti e gruppi che non coincidono con il proprietario e pertanto devono essere protette da eventuali usi non autorizzati. Nel modello di controllo di accesso, utenti e gruppi (nota anche come entità di sicurezza) sono rappresentati dagli identificatori di protezione univoco (SID). Vengono assegnati i diritti e autorizzazioni che indicano il sistema operativo a ogni utente e gruppo di operazioni eseguibili. Ogni risorsa ha un proprietario, il quale concede le autorizzazioni alle entità di sicurezza. Durante la fase di controllo dell'accesso, queste autorizzazioni vengono esaminate per determinare quali entità di sicurezza possono accedere alla risorsa e in che modo.

Entità di sicurezza eseguono azioni (che includono lettura, scrittura, modifica o controllo completo) per gli oggetti. Gli oggetti possono essere file, cartelle, stampanti, chiavi del Registro di sistema o Servizi di dominio Active Directory. Condiviso elenchi di controllo di risorse utilizzare accesso (ACL) per assegnare le autorizzazioni. In questo modo i gestori di risorse applicare il controllo di accesso nei modi seguenti:

• Negare l'accesso a utenti e gruppi non autorizzati

• Fissare limiti precisi per l'accesso consentito a utenti e gruppi autorizzati

In genere i proprietari degli oggetti concedono autorizzazioni a gruppi di sicurezza anziché a singoli utenti. Gli utenti e i computer che vengono aggiunti ai gruppi esistenti acquisiscono le autorizzazioni del gruppo al quale appartengono. Viene definito contenitore un oggetto, ad esempio una cartella, che può contenere altri oggetti, ad esempio sottocartelle e file. In una gerarchia di oggetti, la relazione tra un contenitore e il relativo contenuto viene espresso facendo riferimento al contenitore dell'elemento padre. Un oggetto nel contenitore è indicato come elemento figlio e il figlio eredita le impostazioni di controllo di accesso dell'elemento padre. I proprietari degli oggetti spesso tendono a definire le autorizzazioni per gli oggetti contenitore invece che per gli oggetti figlio, in modo da semplificare la gestione del controllo dell'accesso.

Questo set di contenuti contiene:

• Panoramica del controllo dinamico degli accessi

• Panoramica tecnica di identificatori di sicurezza

• Panoramica tecnica di entità di sicurezza

  • Account locali

  • Account di Active Directory

  • Account Microsoft

  • Account del servizio

  • Gruppi di sicurezza di Active Directory

Applicazioni pratiche

Gli amministratori che utilizzano la versione supportata di Windows è possono perfezionare l'applicazione e gestione del controllo di accesso a oggetti e soggetti per assicurare la protezione seguente:

• Proteggere un numero e una varietà maggiore di risorse di rete da eventuali abusi.

• Il provisioning degli utenti per accedere alle risorse in modo che sia coerente con i criteri dell'organizzazione e i requisiti del proprio lavoro.

• Consentire agli utenti di accedere alle risorse da una serie di dispositivi dislocati in varie posizioni.

• Aggiornamento degli utenti per accedere alle risorse a intervalli regolari come criteri di un'organizzazione modificare o dei processi degli utenti.

• Tenere conto di un numero crescente di scenari di utilizzo (ad esempio l'accesso da postazioni remote o da una rapida espansione varietà di dispositivi, quali telefoni cellulari e tablet PC).

• Identificare e risolvere i problemi relativi all'accesso quando gli utenti autorizzati non ottengono l'accesso alle risorse di cui hanno bisogno per svolgere le proprie mansioni.

Autorizzazioni

Le autorizzazioni definiscono il tipo di accesso viene concesso a un utente o gruppo per un oggetto o una proprietà dell'oggetto. Ad esempio, il gruppo Finance nonché le autorizzazioni lettura e scrittura per un file dat.

Tramite l'interfaccia utente di controllo di accesso, è possibile impostare le autorizzazioni NTFS per gli oggetti, ad esempio file, gli oggetti Active Directory, gli oggetti del Registro di sistema o gli oggetti di sistema, ad esempio i processi. È possibile concedere autorizzazioni a qualsiasi utente, gruppo o computer. È consigliabile assegnare autorizzazioni ai gruppi, in quanto migliora le prestazioni del sistema durante la verifica dell'accesso a un oggetto.

Per qualsiasi oggetto, è possibile concedere le autorizzazioni per:

• Gruppi, utenti e altri oggetti con identificatori di sicurezza nel dominio.

• Gruppi e utenti in tale dominio e tutti i domini trusted.

• Gruppi locali e gli utenti del computer in cui si trova l'oggetto.

Le autorizzazioni associate a un oggetto dipendono dal tipo di oggetto. Ad esempio, le autorizzazioni che possono essere collegate a un file sono diverse da quelli che possono essere collegati a una chiave del Registro di sistema. Alcune autorizzazioni, tuttavia, sono comuni alla maggior parte dei tipi di oggetti. Le autorizzazioni comuni sono:

• Lettura

• Modifica

• Proprietario della modifica

• Elimina

Quando si impostano le autorizzazioni, specificare il livello di accesso per utenti e gruppi. Ad esempio, è possibile consentire un utente leggere il contenuto di un file, consentire a un altro di apportare modifiche al file e impedire l'accesso al file di tutti gli altri utenti. È possibile impostare autorizzazioni simili su stampanti in modo che determinati utenti possono configurare la stampante e altri utenti possono stampare solo.

Quando è necessario modificare le autorizzazioni su un file, è possibile eseguire Esplora risorse, fare doppio clic su nome file e fare clic su proprietà. Nel sicurezza scheda, è possibile modificare le autorizzazioni del file. Per ulteriori informazioni, vedere la gestione delle autorizzazioni.

Proprietà degli oggetti

Quando viene creato l'oggetto a un oggetto viene assegnato un proprietario. Per impostazione predefinita, il proprietario è l'autore dell'oggetto. Indipendentemente da quali autorizzazioni sono impostate su un oggetto, il proprietario dell'oggetto può sempre modificare le autorizzazioni. Per ulteriori informazioni, vedere gestire proprietà dell'oggetto.

Ereditarietà delle autorizzazioni

L'ereditarietà consente agli amministratori di assegnare e gestire facilmente le autorizzazioni. Questa funzionalità, gli oggetti all'interno di un contenitore ereditano tutte le autorizzazioni ereditabili del contenitore. Ad esempio, i file all'interno di una cartella ereditano le autorizzazioni della cartella. Verranno ereditate solo le autorizzazioni contrassegnate per essere ereditata.

Diritti utente

Diritti utente concedono privilegi specifici e diritti di accesso a utenti e gruppi nell'ambiente di elaborazione. Gli amministratori possono assegnare diritti specifici per gli account di gruppo o a singoli account utente. Questi diritti autorizzano gli utenti di eseguire azioni specifiche, ad esempio accedere a un sistema in modo interattivo o il backup dei file e directory.

Diritti utente sono diversi dalle autorizzazioni perché diritti utente si applicano agli account utente e le autorizzazioni sono associate a oggetti. Sebbene sia possono applicare i diritti utente a singoli account utente, diritti utente consigliabile amministrarli in base ad account di gruppo. Non esiste supporto nell'interfaccia di controllo di accesso per concedere diritti utente. Tuttavia, assegnazione diritti utente può essere amministrato tramite Impostazioni protezione locale.

Per ulteriori informazioni sui diritti utente, vedere Assegnazione diritti utente.

Oggetto di controllo

Con i diritti di amministratore, è possibile controllare l'accesso degli utenti di esito positivo o negativo a oggetti. È possibile selezionare quali accesso agli oggetti per controllare tramite l'interfaccia utente di controllo di accesso, ma è innanzitutto necessario attivare il criterio di controllo selezionando Controlla accesso agli oggetti in criteri locali in Impostazioni protezione locale. È quindi possibile visualizzare questi eventi relativi alla protezione nel Registro di protezione nel Visualizzatore eventi.

Per ulteriori informazioni sul controllo, vedere Panoramica del controllo della sicurezza.

Vedere anche

• Per ulteriori informazioni sul controllo di accesso e autorizzazione, vedere Windows Security Collection.

• Per informazioni sulla strategia di autorizzazione, vedere si progetta una strategia di autorizzazione risorse.