存取控制概觀

適用於: Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

本主題適用於 IT 專業人員說明在 Windows 中，是指授權使用者、 群組及電腦存取網路或電腦上的物件的處理程序的存取控制。 組成存取控制的重要概念是權限，物件的擁有權，繼承的權限、 使用者權利以及物件稽核。

功能說明

執行支援的 Windows 版本的電腦可以透過驗證和授權的互相關聯機制來控制系統和網路資源的使用。 驗證使用者之後，Windows 作業系統會使用內建的授權和存取控制技術實作保護資源的第二個階段︰ 判斷已驗證的使用者是否有正確的權限來存取資源。

資源擁有者以外的使用者和群組也可以使用共用的資源，這些資源需要受到保護，以免受到未經授權的存取。 在存取控制模型中，使用者和群組 （也稱為安全性主體） 的表示唯一安全性識別碼 (Sid)。 他們指派權利與權限，通知作業系統每個使用者和群組可以做什麼。 每個資源都會有可將權限授與安全性主體的擁有者。 在存取控制檢查期間，系統會檢查這些權限，以判斷哪些安全性主體可以存取資源，以及如何存取資源。

安全性主體物件上執行的動作 （其中包括讀取、 寫入、 修改或完全控制）。 物件包含檔案、資料夾、印表機、登錄機碼及 Active Directory 網域服務 (AD DS) 物件。 共用資源使用存取控制清單 (Acl) 來指派權限。 這可讓資源管理員，以下列方式強制存取控制︰

• 拒絕未經授權的使用者和群組的存取

• 在提供給已獲授權的使用者和群組的存取上，設定明確定義的限制

物件擁有者通常會將權限授與安全性群組，而不是授與個別使用者。 新增到現有群組的使用者和電腦會取得該群組的權限。 如果物件 (例如資料夾) 可以含有其他物件 (例如子資料夾和檔案)，就稱為容器。 在階層中的物件，表示容器與其內容之間的關聯性參考與父容器。 子系，指容器中的物件和子系會繼承父系的存取控制設定。 物件擁有者通常會定義容器物件的權限，而不是個別的子物件權限，以便簡化存取控制管理。

這個內容集包含︰

• 動態存取控制概觀

• 安全性識別元技術概觀

• 安全性原則技術概觀

  • 本機帳戶

  • Active Directory 帳戶

  • Microsoft 帳戶

  • 服務帳戶

  • Active Directory 安全性群組

實際應用

使用支援的 Windows 版本的系統管理員可以修改應用程式和管理的物件和主體的存取控制，以提供下列安全性︰

• 保護大量的各種網路資源，以防濫用。

• 佈建使用者存取資源和組織的原則和工作的需求一致的方式。

• 讓使用者能夠從多個位置的各種裝置存取資源。

• 當組織的原則變更或變更使用者的工作，請存取資源的定期更新使用者的能力。

• 考量到越來越多的使用案例 （例如從遠端位置或快速發展各式各樣的裝置，例如平板電腦和行動電話的存取）。

• 當合法使用者無法存取他們執行工作所需的資源時，識別並解決存取問題。

權限

權限給使用者或群組物件或物件屬性定義被授與的存取的類型。 例如，財務群組也可獲得 payroll.dat 檔案的讀取和寫入權限。

使用存取控制使用者介面，您可以設定 NTFS 權限的物件，例如檔案、 Active Directory 物件、 登錄物件或系統物件，例如處理序。 權限可以授與任何使用者、 群組或電腦。 您最好將權限指派給群組，因為它是確認物件的存取權時改善系統效能。

針對任何物件，您可以授與的權限︰

• 群組、 使用者和其他網域中的安全性識別項的物件。

• 群組和使用者在該網域和任何信任的網域。

• 本機群組和使用者物件所在的電腦上。

附加至物件的權限的物件類型而定。 例如，可以附加至檔案的權限是不同於可以附加到登錄機碼。 有些權限，不過，通用於大多數類型的物件。 這些常見的權限如下︰

• 讀取

• 修改

• 變更擁有者

• 刪除

當您設定的權限時，您指定的群組和使用者的存取層級。 例如，您可以讓一位使用者讀取檔案的內容，讓另一位使用者變更檔案，並讓其他使用者無法存取該檔案。 您可以設定類似的權限的印表機上，使某些使用者得以設定印表機和其他使用者只能列印。

當您需要變更檔案的權限時，您可以執行 [Windows 檔案總管中，以滑鼠右鍵按一下檔案名稱，然後按一下 屬性。 在 安全性 索引標籤上，您可以變更檔案權限。 如需詳細資訊，請參閱 管理權限。

注意事項
資料夾的 [共用] 索引標籤上設定權限稱為共用權限，另一種 屬性 頁面上，或使用共用資料夾精靈]。 如需詳細資訊，請參閱 共用和檔案伺服器上的 NTFS 權限。

物件的擁有權

擁有者被指派給物件，該物件建立時。 根據預設，擁有者是物件的建立者。 不論設定了哪些權限的物件擁有者可以隨時變更權限。 如需詳細資訊，請參閱 管理物件擁有權。

繼承的權限

繼承可讓系統管理員輕鬆地指派及管理權限。 這項功能會自動讓容器繼承該容器的可繼承的權限內的物件。 例如，資料夾內的檔案會繼承資料夾的權限。 只有標示為要繼承的權限會被繼承。

使用者權限

使用者權限授與特定權限和登入權限給使用者和群組運算環境中。 系統管理員可以指派特定權限給群組帳戶或個別使用者帳戶。 授權的使用者執行特定動作，例如以互動方式登入系統或備份檔案和目錄。

使用者權利是不同的權限，因為使用者權限套用到使用者帳戶，而且與物件相關聯的權限。 雖然使用者權限可套用至個別使用者帳戶，使用者權限最佳管理群組帳戶為基礎。 沒有使用者權限授與存取控制使用者介面中的支援。 不過，可以透過管理使用者權限指派 本機安全性設定。

如需使用者權限的詳細資訊，請參閱 使用者權限指派。

物件稽核

以系統管理員的權限，您可以稽核使用者的成功或失敗存取物件。 您可以選取要使用存取控制使用者介面中，稽核物件存取，但是您必須在第一次選取 [啟用稽核原則 稽核物件存取 下 本機原則 中 本機安全性設定。 您接著可以安全性記錄檔在事件檢視器中檢視這些安全性相關事件。

如需稽核的詳細資訊，請參閱 安全性稽核概觀。

另請參閱

• 如需授權及存取控制的詳細資訊，請參閱 Windows 安全性集合。

• 如需授權策略的資訊，請參閱 設計資源授權策略。