Översikt över åtkomstkontroll

 

Gäller för: Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

Det här avsnittet för IT-proffs Beskriver åtkomstkontroll i Windows, vilket är en process för att auktorisera användare, grupper och datorer för att få åtkomst till objekt i nätverket eller datorn. Nyckelbegrepp behörighet är behörigheter, ägarskap för objekt, ärvda behörigheter, användarrättigheter och Objektgranskning.

Funktionsbeskrivning

Datorer som kör en version av Windows som stöds kan styra användningen av system- och nätverksresurser via relaterade mekanismer för autentisering och auktorisering. När en användare autentiseras inbyggda tekniker för auktorisering och åtkomstkontroll använder Windows-operativsystemet för att implementera den andra fasen för att skydda resurser: avgöra om en autentiserad användare har behörighet att komma åt en resurs.

Delade resurser är tillgängliga för användare och grupper än resursens ägare och de behöver för att skyddas mot obehörig användning. I modellen för åtkomstkontroll representeras användare och grupper (kallas även säkerhetsobjekt) av unika säkerhetsidentifierare (SID). De är tilldelade rättigheter och behörigheter som informerar operativsystemet vad varje användare och grupper som kan göra. Varje resurs har en ägare som ger behörighet att säkerhetsobjekt. Under kontrollen av access control undersöks dessa behörigheter för att fastställa vilka säkerhetsobjekt kan komma åt resursen och hur de kan komma åt den.

Säkerhetsobjekt utföra åtgärder (inklusive läsa, skriva, ändra eller fullständig behörighet) för objekt. Objekt kan vara filer, mappar, skrivare, registernycklar och objekt i Active Directory Domain Services (AD DS). Delade resurser Använd åtkomstkontrollistor (ACL) för att tilldela behörigheter. Det gör resurshanterare att tvinga åtkomstkontroll på följande sätt:

• Neka åtkomst för obehöriga användare och grupper

• Ange begränsningar för väldefinierad på den åtkomst som har angetts till behöriga användare och grupper

Objektägare vanligtvis bevilja behörigheter till säkerhetsgrupper i stället för till enskilda användare. Anta att behörigheter i gruppen användare och datorer som läggs till i befintliga grupper. Om ett objekt (till exempel en mapp) kan innehålla andra objekt (till exempel undermappar och filer), kallas en behållare. Förhållandet mellan en behållare och dess innehåll uttrycks i en hierarki med objekt genom att referera till behållaren som överordnad. Ett objekt i behållaren hänvisas till som underordnad och underordnad ärver behörighetsinställningar för överordnat. Objektägare definiera ofta behörigheter för behållarobjekt i stället för enskilda underordnade objekt för att förenkla hanteringen av access control.

Den här uppsättningen innehåller:

• Dynamisk åtkomstkontroll: översikt

• Teknisk översikt för säkerhets-ID

• Teknisk översikt för säkerhet säkerhetsobjekt

  • Lokala konton

  • Active Directory-konton

  • Microsoft-konton

  • Tjänstkonton

  • Active Directory-säkerhetsgrupper

Praktiska tillämpningar

Administratörer som använder versionen av Windows som stöds kan förfina programmet och hantering av behörighet till objekt och ämnen för att skydda följande:

• Skydda ett större tal och olika nätverksresurser från obehörig användning.

• Etablera användare åtkomst till resurser på ett sätt som överensstämmer med organisationens principer och krav för sitt arbete.

• Ge användare åtkomst till resurser från en mängd olika enheter på flera platser.

• Uppdatera användare möjlighet att komma åt resurser i regelbundet som en organisation principer ändra eller som användarnas jobb.

• Konto för ett växande antal Använd scenarier (till exempel åtkomst från fjärrplatser eller från en snabbt växande mängd olika enheter, till exempel tablet-datorer och mobila enheter).

• Identifiera och lösa åtkomstproblem när behöriga användare inte kan komma åt resurser som de behöver för att utföra sitt arbete.

Behörigheter

Behörigheter definierar vilken typ av åtkomst som en användare eller grupp för ett objekt eller en egenskap. Exempelvis kan gruppen Ekonomi beviljas behörigheterna Läsa och skriva för filen löner.dat.

Du kan ange NTFS-behörigheter för objekt, till exempel filer, Active Directory-objekt, registerobjekt eller systemobjekt, till exempel processer med hjälp av användargränssnittet för åtkomstkontroll. Behörigheter kan beviljas för alla användare, grupp eller dator. Det är en bra idé att tilldela behörigheter till grupper eftersom systemets prestanda förbättras när verifiera åtkomst till ett objekt.

För varje objekt, kan du ge behörighet till:

• Grupper, användare och andra objekt med säkerhetsidentifierare i domänen.

• Grupper och användare i den domänen och alla betrodda domäner.

• Lokala grupper och användare på datorn där objektet finns.

De behörigheter som är kopplad till ett objekt är beroende av typ av objekt. Till exempel skiljer de behörigheter som kan kopplas till en fil sig från de som kan kopplas till en registernyckel. Vissa behörigheter är dock gemensamma för de flesta typer av objekt. Dessa gemensamma behörigheter är:

• Läsa

• Ändra

• Ändra ägare

• Ta bort

När du anger behörigheter anger du åtkomstnivån för grupper och användare. Exempelvis kan en användare läsa innehållet i en fil, låta en annan användare göra ändringar i filen samt hindra alla andra från att komma åt filen. Du kan ange liknande behörigheter för skrivare så att vissa användare kan konfigurera skrivaren och andra användare kan bara skriva ut.

När du behöver ändra behörigheterna för en fil du kör Windows Explorer, högerklicka på filen och klicka på Egenskaper. På den säkerhet och du kan ändra behörigheterna för filen. Mer information finns i Hantera behörigheter.

Information
En annan typ av behörighet, som kallas resursbehörighet, anges på fliken Delning av en mapp Egenskaper sidan eller med hjälp av guiden delad mapp. Mer information finns i resurs och NTFS-behörigheter på en filserver.

Ägarskap för objekt

En ägare tilldelas till ett objekt när objektet har skapats. Som standard är ägare skapare av objektet. Objektets ägare kan alltid ändra behörigheterna oavsett vilka behörigheter som angetts för ett objekt. Mer information finns i Hantera objektägarskap.

Ärvda behörigheter

Arv administratörer kan enkelt tilldela och hantera behörigheter. Den här funktionen gör automatiskt objekt i en behållare ärver alla behörigheterna för behållaren. Till exempel ärver filer i en mapp behörigheter för mappen. Bara de behörigheter som har markerats för att ärvas ärvs.

Användarrättigheter

Användarrättigheter ger särskilda behörigheter och rättigheter logga in till användare och grupper i datormiljön. Administratörer kan tilldela specifika rättigheter till gruppkonton eller till enskilda användarkonton. Dessa rättigheter ger användarna behörighet att utföra vissa åtgärder, till exempel logga in på ett system interaktivt eller att säkerhetskopiera filer och kataloger.

Användarrättigheter skiljer sig från behörigheter eftersom användarrättigheter gäller användarkonton och behörigheter som är associerade med objekt. Även om användarrättigheter kan gälla enskilda användarkonton, administreras användarrättigheter bäst på basis av grupp-konto. Det finns inget stöd i användargränssnittet för åtkomstkontroll för att ge användare behörighet. Tilldelning av användarrättigheter kan dock administreras via lokala säkerhetsinställningar.

Mer information om användarrättigheter finns tilldelning av användarrättigheter.

Objektgranskning

Du kan granska användarnas lyckade eller misslyckade åtkomst till objekt med administratörsrättigheter. Du kan välja det objekt som du vill granska från användargränssnittet för åtkomstkontroll, men först måste du aktivera granskning genom att välja Granska objektåtkomst under lokala principer i lokala säkerhetsinställningar. Du kan visa dessa säkerhetsrelaterade händelser i loggen i Loggboken.

Mer information om granskning finns Säkerhetsöversikt för granskning.

Se även

• Mer information om auktorisering och åtkomstkontroll finns Windows Security samling.

• Information om tillståndet strategi finns Designa en resursauktoriseringsstrategi.