安全性主體
本參考文章除了與安全性主體相關的安全性技術之外,也會說明 Windows 帳戶和安全性群組的安全性主體。
什麼是安全性主體?
安全性主體是能透過作業系統進行驗證的任何實體,例如使用者帳戶、電腦帳戶,或在使用者或電腦帳戶,或這些帳戶安全性群組安全性內容中執行的執行緒或程序。 安全性主體長期以來一直是控制 Windows 電腦上安全性實體資源存取的基礎。 每個安全性主體都會以唯一的安全性識別碼 (SID) 在作業系統中表示。
注意
此內容僅與本文開頭「適用於」清單中的 Windows 版本有關。
安全性主體的運作方式
在 Active Directory 網域中建立的安全性主體是 Active Directory 物件,可用來管理網域資源的存取權。 每個安全性主體都會獲指派唯一識別碼,其會保留整個存留期。 本機使用者帳戶和安全性群組是在本機電腦上建立的,且可用來管理該電腦上的資源存取權。 本機使用者帳戶和安全性群組是由本機電腦上的安全性帳戶管理員 (SAM) 所管理。
授權和存取控制元件
下圖說明 Windows 授權和存取控制程序。 在圖表中,主體 (使用者起始的程序) 會嘗試存取物件,例如共用資料夾。 使用者存取權杖中的資訊會與物件安全性描述元中的存取控制項目 (ACE) 進行比較,然後做出存取決策。 安全性主體的 SID 會用於使用者的存取權杖和物件之安全性描述元中的 ACE。
授權和存取控制程序
安全性主體與下列元件和技術密切相關:
安全性識別碼
安全性識別碼 (SID) 提供 Windows 安全性模型的基本建置組塊。 其會在 Windows Server 作業系統的安全性基礎結構中,使用授權和存取控制技術的特定元件。 這有助於保護網路資源的存取,並提供更安全的運算環境。
SID 是可變長度的值,用來唯一識別安全性主體,以代表系統可驗證的任何實體。 這些實體包括使用者帳戶、電腦帳戶,或在使用者或電腦帳戶安全性內容中執行的執行緒或處理程序。 每個安全性主體都會在其建立時自動獲指派 SID。 SID 會儲存在安全性資料庫中。 當 SID 用作使用者或群組的唯一識別碼使用時,則永遠無法用來識別其他使用者或群組。
使用者每次登入時,系統都會為使用者建立存取權杖。 存取權杖包含使用者所屬群組的 SID、使用者權利和 SID。 此權杖會針對使用者在該電腦上執行的任何動作來提供安全性內容。
除了指派給特定使用者和群組的唯一建立網域特定 SID 之外,還有識別泛型群組和泛型使用者的已知 SID。 例如,Everyone 和 World SID 會識別包含所有使用者的群組。 已知的 SID 具有在所有作業系統上維持不變的值。
存取權杖
存取權杖是受保護的物件,其中包含與使用者帳戶相關聯之身分識別和使用者權限的相關資訊。
當使用者以互動方式登入或嘗試對執行 Windows 的電腦建立網路連線時,登入程序會驗證使用者的認證。 如果驗證成功,則程序會傳回使用者的 SID,以及使用者安全性群組的 SID 清單。 電腦上的本機安全機構 (LSA) 會使用此資訊來建立存取權杖 (在此案例中為主要存取權杖)。 這包括登入程序所傳回的 SID,以及本機安全性原則指派給使用者以及使用者安全性群組的使用者權限清單。
LSA 建立主要存取權杖之後,存取權杖複本會附加至代表使用者執行的每個執行緒和處理程序。 每當執行緒或處理程序與安全性實體物件互動,或嘗試執行需要使用者權限的系統工作時,作業系統會檢查與執行緒相關聯的存取權杖,以判斷授權層級。
存取權杖分為兩種:主要權杖與模擬權杖。 每個處理程序都有一個主要權杖,描述與處理程序相關聯之使用者帳戶的安全性內容。 主要存取權杖通常會指派給處理程序,以代表該程序的預設安全性資訊。 另一方面,模擬權杖用於用戶端和伺服器案例。 模擬權杖可讓執行緒在與擁有執行緒之處理程序的安全性內容不同的安全性內容中執行。
安全性描述元與存取控制清單
安全性描述元是與每個安全性實體物件相關聯的資料結構。 Active Directory 中的所有物件以及本機電腦或網路上的所有安全性實體物件都有安全性描述元,以協助控制對物件的存取。 安全性描述元包含誰擁有物件、誰能存取物件和以何種方式存取,以及稽核哪些存取類型的資訊。 安全性描述元包含物件的存取控制清單 (ACL),其中包含套用至該物件的所有安全性權限。 物件的安全性描述元可以包含兩種 ACL 類型:
判別存取控制清單 (DACL),可識別允許或拒絕存取的使用者和群組。
系統存取控制清單 (SACL),控制如何稽核存取。
您可以使用此存取控制模型來個別保護物件和屬性,例如檔案和資料夾、Active Directory 物件、登錄機碼、印表機、裝置、連接埠、服務、處理程序和執行緒。 由於此個別控制項,您可以調整物件的安全性以符合組織的需求、委派物件或屬性的授權,以及建立需要定義唯一安全性保護的自訂物件或屬性。
權限
權限可讓每個安全性實體物件的擁有者,例如檔案、Active Directory 物件或登錄機碼,控制誰可以在物件或物件屬性上執行一個作業或一組作業。 權限會以 ACE 表示於安全性架構中。 因為物件的存取權是物件擁有者所決定的,因此在 Windows 中使用的存取控制類型稱為「判別存取控制」。
權限與使用者權利不同,權限會附加至物件,而使用者權利則會套用至使用者帳戶。 系統管理員可以將使用者權限指派給群組或使用者。 獲得授權的使用者可以執行特定的動作,例如互動式登入系統或備份檔案及目錄。
在電腦上,使用者權限可讓系統管理員控制誰有權執行會影響整個電腦的作業,而不是特定物件。 作為電腦安全性設定的一部分,系統管理員會將使用者權限指派給個別使用者或群組。 雖然使用者權限可以透過群組原則集中管理,但會在本機套用。 使用者可以在不同電腦上擁有不同的使用者權限。且通常有不同的使用者權限。
如需哪些使用者權限可供使用以及如何實作的資訊,請參閱使用者權限指派。
驗證中的安全性內容
使用者帳戶可讓使用者使用可透過電腦、網路或網域驗證的識別碼登入電腦、網路和網域。
在 Windows 中,任何可以起始動作的使用者、服務、群組或電腦都是安全性主體。 安全性主體擁有帳戶,可以是電腦或網域型的本機帳戶。 例如,已加入網域的 Windows 用戶端電腦可以透過與網域控制站通訊來參與網路網域,即使沒有使用者登入也一樣。
若要起始通訊,電腦必須在網域中擁有作用中的帳戶。 在接受來自電腦的通訊之前,網域控制站上的本機安全性授權單位會驗證電腦的身分識別,然後定義電腦的安全性內容,就像使用者的安全性主體一樣。
此安全性內容會定義特定電腦上使用者或服務的身分識別與功能,或網路上的使用者、服務、群組或電腦。 例如,其會定義可以存取的資源 (例如檔案共用或印表機),以及可由該資源上使用者、服務或電腦執行的動作 (例如讀取、寫入或修改)。
使用者或電腦的安全性內容可能會因電腦而異,例如當使用者向使用者主要工作站以外的伺服器或工作站進行驗證時。 其也可以因工作階段而異,例如系統管理員修改使用者的權利和權限時。 此外,當使用者或電腦獨立運作、位於混合網路網域中,或作為 Active Directory 網域的一部分時,安全性內容會有所不同。
帳戶和安全性群組
在 Active Directory 網域中建立的帳戶和安全性群組會儲存在 Active Directory 資料庫中,並使用 Active Directory 工具進行管理。 這些安全性主體是目錄物件,且可用來管理網域資源的存取權。
本機使用者帳戶和安全性群組是在本機電腦上建立的,且可用來管理該電腦上的資源存取權。 本機使用者帳戶和安全性群組會儲存在本機電腦上,並由安全性帳戶管理員 (SAM) 所管理。
使用者帳戶
使用者帳戶可唯一識別使用電腦系統的人員。 帳戶會發出訊號來強制執行適當的授權,以允許或拒絕該使用者存取資源。 使用者帳戶可以在 Active Directory 和本機電腦上建立,而系統管理員會使用這些帳戶來執行下列作業:
代表、識別及驗證使用者的身分識別。 使用者帳戶可讓使用者使用可透過電腦、網路或網域驗證的唯一識別碼登入電腦、網路和網域。
授權 (授與或拒絕) 資源的存取權。 使用者經過驗證之後,系統會根據指派給該使用者對資源的權限,授權使用者存取資源。
稽核在使用者帳戶上執行的動作。
Windows 和 Windows Server 作業系統具有內建的使用者帳戶,或者您可以建立使用者帳戶以符合組織的需求。
安全性群組
安全性群組是使用者帳戶、電腦帳戶和其他帳戶群組的集合,可從安全性觀點管理為單一單位。 在 Windows 作業系統中,有數個內建安全性群組已預先設定適當的權利和權限來執行特定工作。 此外,您可以 (且通常會) 針對適用於組織中多個使用者的每個唯一安全性需求組合,建立安全性群組。
群組可以是 Active Directory 型或特定電腦的本機:
Active Directory 安全性群組可用來管理網域資源的權利和權限。
本機群組存在於本機電腦 (所有 Windows 電腦) 上的 SAM 資料庫中,但網域控制站除外。 您可以使用本機群組來管理本機電腦上對於資源的權利和權限。
藉由使用安全性群組來管理存取控制,您可以:
簡化系統管理。 您可以一次將一組常見的權利和/或一組常見的權限指派給許多帳戶,而不是個別指派給每個帳戶。 此外,當使用者轉調工作或離開組織時,權限不會繫結至其使用者帳戶,這讓重新指派或移除權限變得更容易。
實作角色型存取控制模型。 您可以使用此模型來授與權限,方法是針對適當用途使用具有不同範圍的群組。 Windows 中可用的範圍包括本機、全域、網域本機和通用。
將 ACL 的大小和速度安全性檢查降到最低。 安全性群組擁有自己的 SID;因此,群組 SID 可用來指定資源的權限。 在具有數千位使用者的環境中,如果使用個別使用者帳戶的 SID 來指定資源的存取權,該資源的 ACL 可能會變得太大而難以管理,且系統檢查資源權限所需的時間可能會變得無法接受。
如需 Active Directory 中所定義網域安全性群組的描述和設定資訊,請參閱 Active Directory 安全性群組。
如需特殊身分識別的描述和設定資訊,請參閱特殊身分識別群組。