Обзор управления доступом

Применимо к:Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

Для ИТ-специалистов в этом разделе описывается управление доступом в Windows, которая представляет собой процесс авторизации пользователей, групп и компьютеров, для доступа к объектам на компьютере или сети. Ключевыми понятиями управления доступом являются разрешения, владение объектами, наследование разрешений, права пользователя и аудит объектов.

Описание компонента

Компьютеры под управлением поддерживаемых версий Windows может управлять использованием ресурсов системы и сети через взаимозависимые механизмы проверки подлинности и авторизации. После проверки подлинности пользователя, операционная система Windows использует встроенные технологии управления авторизацией и доступом к Чтобы реализовать вторую фазу защиты ресурсов: определение, если у пользователя разрешений на доступ к ресурсу.

Общие ресурсы доступны пользователям и группам помимо владельца ресурса, и они должны быть защищены от несанкционированного использования. В модель управления доступом пользователей и групп (также известной как субъекты безопасности) представлены уникальными идентификаторами безопасности (SID). Они назначаются права и разрешения, которые сообщают операционной системе, что может делать каждого пользователя и группы. У каждого ресурса есть свой владелец, выдающий разрешения субъектам безопасности. В ходе проверки управления доступом эти разрешения рассматриваются для определения того, какие субъекты безопасности могут получать доступ к ресурсу и каким образом.

Субъекты безопасности выполняют действия (включая чтение, запись, изменение или полный доступ) для объектов. В число объектов входят файлы, папки, принтеры, ключи реестра и объекты доменных служб Active Directory (AD DS). Общие ресурсы используют списки управления доступом (ACL) для назначения разрешений. Это позволяет диспетчерам ресурсов реализовывать управление доступом следующими способами:

• отказ в доступе неавторизованным пользователям и группам;

• установка четко определенных ограничений на доступ, предоставляемый авторизованным пользователям и группам.

Владельцы объектов обычно предоставляют разрешения группам безопасности, а не отдельным пользователям. Пользователи и компьютеры, добавляемые к существующим группам, пользуются разрешениями соответствующей группы. Если объект (скажем, папка) может содержать другие объекты (скажем, вложенные папки и файлы), он именуется контейнером. В иерархии объектов, обратившись к контейнеру как родительский выражается связь между контейнером и его содержимое. Объект в контейнере упоминается как дочерний и дочерние наследует параметры управления доступом родительского объекта. Владельцы объектов часто определяют разрешения для объектов контейнеров вместо отдельных дочерних объектов, чтобы упростить управление доступом.

Содержит этот набор содержимого:

• Обзор динамического контроля доступа

• Технический обзор идентификаторы безопасности

• Технический обзор субъекты безопасности

  • Локальные учетные записи

  • Учетные записи Active Directory

  • Учетные записи Майкрософт

  • Учетные записи службы

  • Группы безопасности Active Directory

Практическое применение

Администраторам, использующим поддерживаемую версию Windows можно уточнить приложения и управления доступом к объектам и субъектам для обеспечения безопасности:

• Защита большего числа и спектра сетевых ресурсов от злоупотреблений.

• Подготовка пользователей для доступа к ресурсам, таким образом, соответствует политикам организации и требования к их работы.

• Предоставление пользователям доступа к ресурсам с широкого спектра устройств в различных расположениях.

• Обновление возможности пользователей для доступа к ресурсам на регулярной основе, как изменение политики организации или изменении задания пользователей.

• Учетная запись для растущего числа сценариев использования (например, доступ из удаленных расположений или быстрого расширения различных устройств, таких как планшетные ПК и мобильные телефоны).

• Определение и решение проблем доступа, когда правомочные пользователи не в состоянии получить доступ к ресурсам, необходимым им для выполнения работы.

Разрешения

Разрешения определяют тип доступа, который предоставляется для пользователя или группы для объекта или свойства объекта. Например группы "Финансы" могут предоставляться разрешения на чтение и запись для файла с именем Payroll.dat.

С помощью пользовательского интерфейса управления доступом, можно установить разрешения NTFS для объектов, таких как файлы, объекты Active Directory, объекты реестра или системные объекты, например процессы. Разрешения могут предоставляться для любого пользователя, группы или компьютера. Рекомендуется назначать разрешения группам, так как она повышает производительность системы при проверке прав доступа к объекту.

Для любого объекта можно предоставить разрешения:

• Группы пользователей и другим объектам с идентификаторами безопасности в домене.

• Группы и пользователи в этом домене и любого доверенного домена;

• Локальным группам и пользователям на компьютере, где находится объект.

Разрешения, назначенные объекту зависят от типа объекта. Например разрешения, которые можно добавить в файл, отличаются от тех, которые можно подключить к разделу реестра. Однако некоторые разрешения являются общими для большинства типов объектов. Эти общие разрешения перечислены ниже.

• Чтение

• Изменить

• Изменить владельца

• Удалить

При установке разрешений можно указать уровень доступа для групп и пользователей. Например можно позволить одному пользователю читать содержимое файла, другой вносить изменения в файл и запретить доступ к файлу всем остальным пользователям. Вы же можно устанавливать разрешения для принтеров, чтобы некоторые пользователи могли настраивать принтер и распечатать только другим пользователям.

При необходимости измените разрешения для файла, можно запустить проводник, щелкните правой кнопкой мыши имя файла и нажмите кнопку Свойства. На безопасности вкладке можно изменить разрешения для файла. Дополнительные сведения см. в разделе управления разрешениями.

Владение объектами

Владелец назначается объекту при создании этого объекта. По умолчанию владельцем является создатель объекта. Независимо от того, какие разрешения задаются для объекта владелец объекта всегда может изменить эти разрешения. Дополнительные сведения см. в разделе Управление владением объектами.

Наследование разрешений

Наследование позволяет администраторам легко назначать разрешения и управлять ими. Эта функция автоматически вызывает объекты в контейнере, наследуют разрешения, наследуемые из этого контейнера. Например файлы в папке наследуют разрешения на папку. Будет наследоваться только те разрешения, которые помечены для наследования.

Права пользователя

Права пользователя предоставить определенные права доступа и права входа пользователям и группам в компьютерной среде. Администраторы могут назначать права учетным записям группы или отдельных пользователей. Эти права позволяют пользователям выполнять определенные действия, такие как интерактивный вход в систему или резервное копирование файлов и каталогов.

Права пользователей отличаются от разрешений, так как применяются права пользователей для учетных записей пользователей и разрешения, связанные с объектами. Хотя права пользователей могут применяться к отдельным учетным записям пользователей, на основе учетной записи группы удобнее администрировать права пользователя. Не поддерживается в пользовательский интерфейс управления доступом, чтобы предоставить права пользователя. Тем не менее, назначение прав пользователя можно администрировать через Локальные параметры безопасности.

Дополнительные сведения о правах пользователей см. в разделе Назначение прав пользователя.

Аудит объектов

С правами администратора можно проводить аудит доступа к успешной или неуспешной пользователей к объектам. Можно выбрать, какой объект, аудит доступа с помощью пользовательского интерфейса управления доступом, но сначала необходимо включить политику аудита, выбрав Аудит доступа к объектам под Локальные политики в Локальные параметры безопасности. Затем эти события, связанные с безопасностью можно просмотреть в журнале безопасности в окне просмотра событий.

Дополнительные сведения об аудите см. в разделе Общие сведения об аудите безопасности.

См. также:

• Дополнительные сведения об авторизации и управлении доступом см. в разделе сбора безопасности Windows.

• Сведения о стратегии авторизации см. в разделе Разработка стратегии авторизации ресурсов.