访问控制概述

适用对象：Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

面向 IT 专业人士的本主题描述在 Windows 中，这是授权用户、 组和计算机访问网络或计算机上的对象的过程的访问控制。 建立访问控制的主要概念是对象的所有权，继承的权限、 用户权限和对象审核的权限。

功能描述

正在运行受支持的版本的 Windows 的计算机可以通过身份验证和授权的相关机制来控制系统和网络资源的使用。 用户进行身份验证后，Windows 操作系统使用内置的授权和访问控制技术实现保护资源的第二个阶段︰ 确定身份验证的用户是否有正确的权限来访问资源。

除资源所有者外的用户和组也可使用共享资源，并且需要保护这些资源以避免未授权的使用。 在访问控制模型中，用户和组 （也称为安全主体） 由独特的安全标识符 (Sid) 表示。 为它们分配权利和权限告知操作系统每个用户和组可以做什么。 每一资源有一个所有者，向安全主体授予权限。 在访问控制检查过程中，这些权限将被检查，以决定哪些安全主体能够访问资源，如何访问。

安全主体的对象执行操作 （其中包括读取、 写入、 修改或完全控制）。 对象包括文件、文件夹、打印机、注册表项和 Active Directory 域服务 (AD DS) 对象。 共享资源使用访问控制列表 (Acl) 来分配权限。 这使得资源管理器以按以下方式强制实施访问控制︰

• 拒绝未授权的用户和组的访问

• 对提供给授权用户和组的访问，设置定义明确的限制

对象所有者通常向安全组而非个人用户授予权限。 加入已有组的用户和计算机享有该组的权限。 如果一个对象（比如一个文件夹）能够保存其他对象（如子文件夹和文件），它就被称为容器。 在对象层次结构中，一个容器及其内容之间的关系由表示指向作为父容器。 容器中的对象被称为子，，则继承父的访问控制设置。 对象所有者往往定义容器对象的权限，而不是个别子对象的权限，来简化访问控制管理。

此内容集包含︰

• 动态访问控制概述

• 安全标识符技术概述

• 安全主体技术概述

  • 本地帐户

  • Active Directory 帐户

  • Microsoft 帐户

  • 服务帐户

  • Active Directory 安全组

实际的应用程序

使用支持的 Windows 版本的管理员均可以优化应用程序和管理对对象和使用者的访问控制以提供下列安全性︰

• 保护更多数量和种类的网络资源不被误用。

• 设置用户访问资源是与组织策略及其工作要求一致的方式。

• 允许用户访问来自多个位置的各种设备的资源。

• 随着组织的策略更改或更改用户的作业，请定期访问资源中更新的用户的能力。

• 越来越多的使用情景 （如从远程位置或来自迅速扩张的各种设备，如平板电脑和移动电话的访问权限） 的帐户。

• 当合法用户无法访问他们需要用来执行任务的资源时，识别并解决访问问题。

权限

权限的被授予的访问权限的类型定义为用户或组的对象或对象属性。 例如，可以为一个名为 Payroll.dat 文件的读取和写入权限授予财务组。

通过使用访问控制用户界面，可以设置 NTFS 权限，例如文件、 Active Directory 对象、 注册表对象或系统对象，例如进程的对象。 权限可以授予任何用户、 组或计算机。 它是作为最佳做法，因为它提高了系统性能，在验证对象的访问权限时，将权限分配给组。

对于任何对象，您可以授予的权限︰

• 组、 用户和域中的安全标识符与其他对象。

• 组和用户在该域或任何受信任的域。

• 本地组，该对象所驻留的计算机上的用户。

附加到某个对象的权限取决于对象的类型。 例如，可以附加到文件的权限是不同于那些可以附加到注册表项。 但是，某些权限，都是普遍适用于大多数类型的对象。 这些公用权限有︰

• 读取

• 修改

• 更改所有者

• “删除”

当您设置权限时，您指定组和用户的访问的级别。 例如，您可以让一个用户读取文件的内容，允许另一个用户修改该文件，同时防止所有其他用户访问该文件。 可以在打印机上设置类似的权限，以便某些用户可以配置打印机，而其他用户只能进行打印。

当您需要更改文件的权限时，您可以运行 Windows 资源管理器，右键单击文件名，并单击 属性。 在 安全 选项卡上，您可以更改文件的权限。 有关详细信息，请参阅 Managing Permissions。

对象的所有权

创建该对象时，将为对象分配了所有者。 默认情况下，所有者是该对象的创建者。 在对象上设置何种权限，无论该对象的所有者始终可以更改权限。 有关详细信息，请参阅 管理对象所有权。

权限的继承

继承使得管理员易于指派和管理权限。 此功能自动使容器继承该容器的所有可继承权限中的对象。 例如，文件夹中的文件继承的文件夹的权限。 只有标记为要继承的权限将被继承。

用户权限

用户权限授予特定权限和为用户和组计算环境中的登录权限。 管理员可以向组帐户或单独的用户帐户分配特定权限。 这些权利授权用户执行特定操作，如以交互方式登录到系统或备份文件和目录。

用户权限是与权限不同，因为用户权利应用于用户帐户和权限是与对象相关联。 虽然用户权利可以应用于单个用户帐户，但最好是基于组帐户来管理。 没有支持在访问控制用户界面来授予用户权限中。 但是，通过管理用户权限分配 本地安全设置。

有关用户权利的详细信息，请参阅 用户权限分配。

对象审核

拥有管理员权限后，您可以审核对对象的用户的成功或失败访问。 您可以选择哪些对象访问审核通过使用访问控制用户界面，但首先必须通过选择启用了审核策略 审核对象访问 下 本地策略 中 本地安全设置。 然后可以在事件查看器中的安全日志中查看这些与安全相关的事件。

有关审核的详细信息，请参阅 安全审核概述。

另请参阅

• 有关授权和访问控制的详细信息，请参阅 Windows 安全集合。

• 有关授权策略的信息，请参阅 设计资源授权策略。