Toegangsbeheer-overzicht

Van toepassing op: Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

Dit onderwerp voor IT-professionals beschrijft toegangsbeheer in Windows, het proces is van het machtigen van gebruikers, groepen en computers voor toegang tot objecten op het netwerk of de computer. Belangrijkste concepten die gezamenlijk toegangsbeheer zijn machtigingen, eigendom van objecten, overname van machtigingen, gebruikersrechten en de controle van objecten.

Functiebeschrijving

Computers waarop een ondersteunde versie van Windows kunnen u het gebruik van systeem- en netwerkbronnen beheren via de gerelateerde mechanismen van verificatie en autorisatie. Na een gebruiker wordt geverifieerd, het besturingssysteem Windows ingebouwde technologieën voor autorisatie en toegang gebruikt voor het implementeren van de tweede fase voor het beveiligen van bronnen: bepalen of een geverifieerde gebruiker de juiste machtigingen heeft heeft voor toegang tot een bron.

Gedeelde resources beschikbaar zijn voor gebruikers en groepen dan de eigenaar van de bron en moeten ze worden beschermd tegen onbevoegd gebruik. In het model voor toegangsbeheer, worden gebruikers en groepen (ook wel beveiligings-principals genoemd) vertegenwoordigd door unieke beveiligings-id (SID's). Deze toegewezen rechten en machtigingen die aan het besturingssysteem doorgeven wat elke gebruiker of groep kunt doen. Elke resource heeft een eigenaar op die machtigingen aan beveiligings-principals verleent. Tijdens de controle van het besturingselement toegang tot worden deze machtigingen onderzocht om te bepalen welke beveiligings-principals toegang heeft tot de bron en hoe ze toegang tot.

Beveiligings-principals uitvoeren acties (waaronder lezen, schrijven, wijzigen of volledig beheer) op objecten. Objecten opnemen bestanden, mappen, printers, registersleutels en objecten in Active Directory Domain Services (AD DS). Gedeelde resources gebruik toegangscontrolelijsten (ACL's) machtigingen toe te wijzen. Hierdoor kunnen bronbeheer om af te dwingen toegangsbeheer in de volgende manieren:

• De toegang weigeren aan niet-geautoriseerde gebruikers en groepen

• Goed gedefinieerde limieten instellen voor de toegang die is opgegeven voor gemachtigde gebruikers en groepen

Object eigenaars in het algemeen verlenen machtigingen aan beveiligingsgroepen in plaats van afzonderlijke gebruikers. Gebruikers en computers die zijn toegevoegd aan bestaande groepen ervan uitgaan dat de machtigingen van die groep. Als een object (zoals een map) andere objecten (zoals submappen en bestanden) bevatten kan, is er sprake van een container. De relatie tussen een container en de inhoud wordt in een hiërarchie van objecten door te verwijzen naar de container als de bovenliggende uitgedrukt. Een object in de container is aangeduid als de onderliggende en de onderliggende neemt over de instellingen voor toegangsbeheer van het bovenliggende item. Object eigenaars definiëren vaak machtigingen voor containerobjecten in plaats van afzonderlijke onderliggende objecten voor toegangsbeheer vereenvoudigen.

Deze inhoud bevat:

• Overzicht van Dynamisch toegangsbeheer

• Technisch overzicht van beveiligings-id 's

• Technisch overzicht van beveiligings-Principals

  • Lokale Accounts

  • Active Directory-Accounts

  • Microsoft-accounts

  • Serviceaccounts

  • Active Directory-beveiligingsgroepen

Praktische toepassingen

Beheerders die gebruikmaken van de ondersteunde versie van Windows kunnen de toepassing en het beheer van beheer van toegang tot objecten en onderwerpen voor de beveiliging van de volgende verfijnen:

• Een groter aantal en de verschillende netwerkbronnen beveiligen tegen misbruik.

• Gebruikers toegang tot bronnen op een manier die consistent zijn met organisatiebeleid en de vereisten van hun taken in te richten.

• Kunnen gebruikers toegang krijgen tot bronnen vanaf verschillende apparaten op verschillende locaties.

• Update gebruikers de mogelijkheid voor toegang tot bronnen op een regelmatige basis als de beleidsregels van een organisatie wijzigen of als er gebruikers taken.

• Account voor een toenemend aantal scenario's gebruiken (zoals toegang vanaf externe locaties of vanuit een snel groter scala aan apparaten, zoals tablet-computers en mobiele telefoons).

• U kunt identificeren en oplossen van toegangsproblemen wanneer legitieme gebruikers geen toegang tot resources die ze nodig hebben hebben om hun taken uitvoeren.

Machtigingen

Machtigingen bepalen welk type toegang dat wordt verleend aan een gebruiker of groep voor een object of de objecteigenschap. Machtigingen voor lezen en schrijven voor het bestand Salarissen.dat kan bijvoorbeeld aan de afdelingen Financiën onderbrengen worden verleend.

U kunt NTFS-machtigingen voor objecten zoals bestanden, Active Directory-objecten, registerobjecten of systeemobjecten zoals processen instellen via de gebruikersinterface voor toegangsbeheer. Machtigingen kunnen worden toegekend aan elke gebruiker, groep of computer. Het is een goede gewoonte machtigingen toewijzen aan groepen omdat verbetert de prestaties bij het verifiëren van toegang tot een object.

U kunt machtigingen te verlenen voor alle objecten:

• Groepen, gebruikers en andere objecten met beveiligings-id's in het domein.

• Groepen en gebruikers in dat domein en een vertrouwde domeinen.

• Lokale groepen en gebruikers op de computer waarop het object zich bevindt.

De machtigingen die zijn gekoppeld aan een object, is afhankelijk van het type object. Bijvoorbeeld, verschillen de machtigingen die kunnen worden gekoppeld aan een bestand van die kan worden gekoppeld aan een registersleutel. Sommige machtigingen kunnen echter zijn gemeenschappelijk voor de meeste typen objecten. Deze algemene machtigingen zijn:

• Lezen

• Wijzigen

• Eigenaar wijzigen

• Verwijderen

Wanneer u machtigingen instelt, geeft u het niveau van toegang voor groepen en gebruikers. U kunt bijvoorbeeld een gebruiker de inhoud van een bestand lezen, kunt een andere gebruiker aangebrachte wijzigingen in het bestand en te voorkomen dat alle andere gebruikers het bestand niet openen. U kunt vergelijkbare machtigingen instellen voor printers zodat bepaalde gebruikers de printer configureren kunnen en andere gebruikers kunnen alleen afdrukken.

Als u moet de machtigingen voor een bestand te wijzigen, u kunt Windows Verkenner met de rechtermuisknop op de bestandsnaam en klikt u op eigenschappen. Op de beveiliging tabblad kunt u machtigingen voor het bestand. Zie voor meer informatie machtigingen beheren.

Eigendom van objecten

Een eigenaar toewijst aan een object wanneer dat object wordt gemaakt. Standaard is de eigenaar de maker van het object. Ongeacht welke machtigingen zijn ingesteld op een object, kan de eigenaar van het object altijd de machtigingen wijzigen. Zie voor meer informatie eigendom van objecten beheren.

Overname van machtigingen

Overname kan beheerders eenvoudig machtigingen toekennen en beheren. Deze functie zorgt automatisch voor objecten in een container worden overgenomen van de overneembare machtigingen van die container. Bijvoorbeeld, overneemt de bestanden in een map de machtigingen van de map. Alleen de gemarkeerd om te worden overgenomen machtigingen worden overgenomen.

Gebruikersrechten

Gebruikersrechten verlenen bevoegdheden en aanmelden rechten voor gebruikers en groepen in uw computeromgeving. Beheerders kunnen specifieke rechten toewijzen aan groepsaccounts of afzonderlijke gebruikersaccounts. Deze rechten toestaan dat gebruikers bepaalde acties uitvoeren, zoals interactief aanmelden bij een systeem- of back-ups van bestanden en mappen.

Gebruikersrechten zijn verschillend van machtigingen omdat gebruikersrechten van toepassing op gebruikersaccounts en machtigingen gekoppeld aan objecten zijn. Hoewel gebruikersrechten op afzonderlijke gebruikersaccounts toepassen kunnen, gebruikersrechten best worden beheerd op basis van de groep account. Er wordt niet ondersteund in de gebruikersinterface voor toegangsbeheer gebruiker rechten. Toewijzing van gebruiksrecht kan echter worden beheerd via lokale beveiligingsinstellingen.

Zie voor meer informatie over gebruikersrechten toewijzing van gebruiksrecht.

Object-controle

Met beheerdersrechten, kunt u gebruikers geslaagde of mislukte toegang tot objecten controleren. U kunt selecteren die u wilt controleren met behulp van de gebruikersinterface voor toegangsbeheer, maar eerst moet u het controlebeleid inschakelen door het selecteren van Objecttoegang onder Lokaal beleid in lokale beveiligingsinstellingen. U kunt deze beveiligingsgebeurtenissen in het logboek in logboeken bekijken.

Zie voor meer informatie over het controleren van Beveiliging controleren-overzicht.

Zie ook

• Zie voor meer informatie over autorisatie en toegangsbeheer Windows Security Collection.

• Zie voor meer informatie over de strategie voor autorisatie een Bronautorisatiestrategie ontwerpen.