Erişim denetim genel bakış

Uygulama Alanı: Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

Bu konu BT uzmanı için erişim denetimi, kullanıcılar, gruplar ve bilgisayarlar ağdaki veya bilgisayar nesnelerine erişmek için yetkilendirme işlemi olan Windows açıklar. Erişim denetimi oluşturan temel kavramları, izinler, nesnelerin sahipliği devralma izinleri, kullanıcı hakları ve nesne denetimi değil.

Özellik açıklaması

Desteklenen bir Windows sürümü çalıştıran bilgisayarlar, kimlik doğrulama ve yetkilendirme birbiriyle düzenekleri üzerinden sistem ve ağ kaynak kullanımını kontrol edebilirsiniz. Bir kullanıcı kimlik doğrulaması sonra Windows işletim sistemi kaynakları korumanın ikinci aşama uygulamak için yerleşik yetkilendirme ve erişim denetimi teknolojileri kullanır: kimliği doğrulanmış bir kullanıcının bir kaynağa erişmek için doğru izinlere sahip olup olmadığını belirleme.

Paylaşılan kaynaklar kullanıcılar ve gruplar kaynak sahibi dışında kullanılabilir ve yetkisiz kullanımdan korunması gerekir. Erişim denetim modelinde, kullanıcılar ve gruplar (güvenlik ilkeleri da bilinir) benzersiz güvenlik tanımlayıcılarını (SID'ler) tarafından temsil edilir. Bunlar haklar ve işletim sistemi her kullanıcı ve grup ne yapabileceğiniz hakkında bilgilendirmek izinler atanır. Her kaynak için güvenlik ilkeleri izinleri verir bir sahip vardır. Bu izinleri, hangi güvenlik ilkeleri kaynağa erişebilirsiniz ve nasıl erişebilirsiniz belirlemek için erişim denetimi sırasında incelenebilen.

Güvenlik ilkeleri nesneler (hangi okuma, yazma, değiştirme veya tam denetim dahil) eylemleri gerçekleştirin. Nesneleri dosyaları, klasörleri, yazıcılar, kayıt defteri anahtarlarını ve Active Directory etki alanı Hizmetleri'ni (AD DS) nesneleri içerir. Paylaşılan kaynaklar kullanım erişim denetim listelerini izinleri atamak için (ACL). Bu, erişim denetimi aşağıdaki yollarla zorlamak kaynak yöneticileri sağlar:

• Yetkisiz kullanıcılar ve gruplar için erişimini

• Yetkili kullanıcılar ve gruplar için sağlanan erişimi iyi tanımlanmış sınırları ayarlayın

Nesne sahipleri, genellikle tek kullanıcılar yerine güvenlik gruplarına izin verin. Kullanıcıları ve mevcut gruplarına eklenen bilgisayarları, bu grubun izinleri kabul eder. Bir nesne (örneğin, bir klasöre) (alt klasörleri ve dosyaları gibi) diğer nesneleri tutarsanız bir kapsayıcı çağrılır. Nesneleri hiyerarşisinde bir kapsayıcı ve içeriği arasındaki ilişki olarak üst kapsayıcı başvurarak ifade edilir. Bir kapsayıcı nesnesinde alt öğesi olarak adlandırılır ve alt üst erişim denetimi ayarlarını devralır. Nesne sahipleri genellikle erişim denetimi yönetimini kolaylaştırmak için izinlerini tek tek alt nesneler yerine, kapsayıcı nesnelerinin tanımlayın.

Bu içerik kümesi içerir:

• Dinamik erişim denetimi genel bakış

• Güvenlik tanımlayıcıları teknik genel bakış

• Güvenlik ilkeleri teknik genel bakış

  • Yerel hesaplar

  • Active Directory hesapları

  • Microsoft Hesapları

  • Hizmet Hesapları

  • Active Directory güvenlik gruplarını

Pratik uygulamalar

Desteklenen bir Windows sürümü kullanan yöneticiler, uygulama ve yönetim erişim denetimi nesneleri ve konular için aşağıdaki güvenlik sağlamak için iyileştirebilirsiniz:

• Bir büyük sayı ve ağ kaynaklarına çeşitli kötüye kullanılmaya karşı korur.

• Kaynaklara kurumsal ilkeleri ve işlerini gereksinimlerini tutarlı bir şekilde erişmek için kullanıcıların sağlayın.

• Kullanıcıların aygıtları çok sayıda konumlarda çeşitli kaynaklara erişim sağlar.

• Güncelleştirme kullanıcılarınızın özelliğini kaynaklarına erişmek için düzenli olarak bir kuruluşun ilkeleri veya kullanıcıların işleri olarak değiştirin.

• Kullanım senaryoları (örneğin, uzak konumlardan veya hızla genişleyen aygıtları, tablet bilgisayarlar ve cep telefonları gibi çeşitli erişimi) büyüyen bir dizi için hesap.

• Belirlemek ve yasal kullanıcılar işlerini yapmak için ihtiyaç duydukları kaynakları erişemiyor oluşturulduğunda erişim sorunları çözün.

İzinler

İzinler verilen erişim türü kullanıcıya veya gruba bir nesne veya nesne özelliği tanımlar. Örneğin, Finans grubuna Bordro.dat dosyası için okuma ve yazma izinleri verilebilir.

Erişim denetimi kullanıcı arabirimini kullanarak, dosyalar, Active Directory nesnelerini, kayıt defteri nesneleri veya işlemler gibi sistem nesnelerinin NTFS izinlerini ayarlayabilirsiniz. Herhangi bir kullanıcı, Grup veya bilgisayar izinleri verilebilir. Bir nesneye erişimi doğrularken sistem performansı artırmak için izinler gruplarına atamak için iyi bir uygulamadır.

Herhangi bir nesne için izinler verebilirsiniz:

• Grupları, kullanıcıları ve diğer nesneleri ile etki alanındaki güvenlik tanımlayıcıları.

• Grupları ve kullanıcılar, etki alanı ve güvenilen etki alanları.

• Yerel Grup ve nesne bulunduğu bilgisayardaki kullanıcılar.

Bir nesneye iliştirilmiş izinler nesne türüne bağlıdır. Örneğin, bir dosyaya bağlanabilecek izinler kayıt defteri anahtarına bağlı farklıdır. Ancak, bazı izinler çoğu nesne türü için yaygındır. Ortak izinler şunlardır:

• Okuma

• Değiştirme

• Yeni sahibi

• Sil

İzinler ayarladığınızda, grupları ve kullanıcılar için erişim düzeyi belirtin. Örneğin, bir dosyanın içeriğini okumak, başka bir kullanıcı değişiklik yapma dosyasına sağlar ve diğer tüm kullanıcıların dosya erişimini engellemek için bir kullanıcı izin verebilirsiniz. Bazı kullanıcılar yazıcıyı yapılandırabilir ve diğer kullanıcılar yalnızca yazdırabilirsiniz yazıcıda benzer izinleri ayarlayabilirsiniz.

Bir dosya üzerindeki izinleri değiştirmeniz gerektiğinde, Windows Gezgini'ni çalıştırabilir, dosya adını sağ tıklatın ve tıklatınözellikleri. ÜzerindeGüvenliksekmesi, dosya üzerindeki izinleri değiştirebilirsiniz. Daha fazla bilgi içinyönetme izinleri.

Nesnelerin sahipliği

Bu nesne oluşturulurken bir sahip bir nesneye atanmış. Varsayılan olarak, nesnenin oluşturucusu sahibi değil. Nesnenin sahibi, hangi izinlerin bir nesne üzerinde ayarlanmış ne olursa olsun, her zaman izinleri değiştirebilirsiniz. Daha fazla bilgi içinNesne sahipliği.

İzinleri devralma

Devralma kolayca atamak ve izinleri yönetmek yöneticilerinin uygulanmasına olanak tanır. Bu özellik, bu kapsayıcının alınabilir tüm izinleri devralır için bir kapsayıcı içindeki nesneler otomatik olarak neden olur. Örneğin, bir klasördeki dosyaları klasörünün izinleri devralır. Yalnızca devralınan için işaretlenmiş izinler devralınır.

Kullanıcı hakları

Kullanıcı belirli ayrıcalıklar ve oturum açma hakları kullanıcılar ve gruplar bilgisayar ortamınızdaki hakları. Yöneticiler grubu hesaplarına veya bağımsız kullanıcı hesapları belirli haklar atayabilir. Bu hakları etkileşimli bir sisteme oturum açma veya dosyaları ve dizinleri yedekleme gibi belirli eylemleri gerçekleştirmek için kullanıcıları yetkilendirin.

Kullanıcı hakları, çünkü kullanıcı hakları kullanıcı hesapları için geçerlidir ve izinleri nesnelerle ilişkili öğesinden izinleri farklıdır. Kullanıcı hakları bağımsız kullanıcı hesapları için uygulayabilirsiniz olsa da, kullanıcı hakları bir grup hesapları temelinde en iyi şekilde yönetilir. Kullanıcı hakları vermek için erişim denetimi kullanıcı arabiriminde desteği yoktur. Ancak, kullanıcı hakları ataması üzerinden yönetilebiliryerel güvenlik ayarları.

Kullanıcı hakları hakkında daha fazla bilgi içinkullanıcı hakları ataması.

Nesne denetimi

Yönetici haklarına sahip nesnelere kullanıcıların başarılı veya başarısız erişim denetleyebilirsiniz. Erişim denetimi kullanıcı arabirimini kullanarak denetlemek için hangi nesne erişimi seçebilirsiniz, ancak seçerek Denetim İlkesi önce etkinleştirmelisiniznesne erişim denetimaltındaYerel İlkeleriçindeyerel güvenlik ayarları. Güvenlik günlüğü Olay Görüntüleyicisi'nde sonra bu güvenlikle ilgili olayları görüntüleyebilirsiniz.

Denetim hakkında daha fazla bilgi içinGüvenlik Denetim genel bakış.

Ayrıca bkz:

• Yetkilendirme ve erişim denetimi hakkında daha fazla bilgi için bkzWindows Güvenlik koleksiyonu.

• Yetkilendirme stratejisi hakkında daha fazla bilgi için bkzKaynak Yetkilendirme stratejisi tasarlama.