Übersicht über die Zugriffssteuerung
In diesem Artikel wird die Zugriffssteuerung in Windows beschrieben, bei der Benutzer, Gruppen und Computer für den Zugriff auf Objekte im Netzwerk oder Computer autorisiert werden. Die wichtigsten Konzepte, aus denen die Zugriffssteuerung besteht, sind:
- Berechtigungen
- Besitz von Objekten
- Vererbung von Berechtigungen
- Benutzerrechte
- Objektüberwachung
Computer, auf denen eine unterstützte Windows-Version ausgeführt wird, können die Verwendung von System- und Netzwerkressourcen über die miteinander verbundenen Authentifizierungs- und Autorisierungsmechanismen steuern. Nach der Authentifizierung eines Benutzers verwendet das Windows-Betriebssystem integrierte Autorisierungs- und Zugriffssteuerungstechnologien, um die zweite Phase des Ressourcenschutzs zu implementieren: Bestimmt, ob ein authentifizierter Benutzer über die richtigen Berechtigungen für den Zugriff auf eine Ressource verfügt.
Freigegebene Ressourcen sind für andere Benutzer und Gruppen als den Besitzer der Ressource verfügbar und müssen vor nicht autorisierter Verwendung geschützt werden. Im Zugriffssteuerungsmodell werden Benutzer und Gruppen (auch als Sicherheitsprinzipale bezeichnet) durch eindeutige Sicherheitskennungen (SIDs) dargestellt. Ihnen werden Rechte und Berechtigungen zugewiesen, die das Betriebssystem darüber informieren, was die einzelnen Benutzer und Gruppen tun können. Jede Ressource hat einen Besitzer, der den Sicherheitsprinzipalen Berechtigungen erteilt. Bei der Zugriffssteuerungsprüfung werden diese Berechtigungen überprüft, um zu ermitteln, welche Sicherheitsprinzipale wie auf die Ressource zugreifen dürfen.
Sicherheitsprinzipale führen Aktionen (einschließlich Lesen, Schreiben, Ändern oder Vollzugriff) für Objekte aus. Zu den Objekten zählen Dateien, Ordner, Drucker, Registrierungsschlüssel und AD DS-Objekte (Active Directory-Domänendienste). Freigegebene Ressourcen verwenden Zugriffssteuerungslisten (ACLs), um Berechtigungen zuzuweisen. Auf diese Weise können Ressourcenmanager die Zugriffskontrolle auf folgende Weise erzwingen:
- Verweigern des Zugriffs auf nicht autorisierte Benutzer und Gruppen
- Festlegen von klar definierten Grenzen für den Zugriff, der autorisierten Benutzern und Gruppen gewährt wird
Objektbesitzer erteilen im Allgemeinen eher Sicherheitsgruppen Berechtigungen als einzelnen Benutzern. Benutzer und Computer, die vorhandenen Gruppen hinzugefügt werden, übernehmen die Berechtigungen dieser Gruppe. Wenn ein Objekt (z. B. ein Ordner) andere Objekte (z. B. Unterordner und Dateien) enthalten kann, wird es als Container bezeichnet. In einer Hierarchie von Objekten wird die Beziehung zwischen einem Container und seinem Inhalt ausgedrückt, indem auf den Container als übergeordnetes Element verwiesen wird. Ein Objekt im Container wird als untergeordnetes Objekt bezeichnet, und das untergeordnete Objekt erbt die Zugriffssteuerungseinstellungen des übergeordneten Elements. Objektbesitzer definieren häufig Berechtigungen für Containerobjekte statt für einzelne untergeordnete Objekte, um die Verwaltung der Zugriffssteuerung zu erleichtern.
Dieser Inhaltssatz enthält:
Windows-Edition und Lizenzierungsanforderungen
In der folgenden Tabelle sind die Windows-Editionen aufgeführt, die Access Control (ACL/SACL) unterstützen:
| Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
|---|---|---|---|
| Ja | Ja | Ja | Ja |
Access Control Lizenzberechtigungen (ACL/SACL) werden von den folgenden Lizenzen gewährt:
| Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
|---|---|---|---|---|
| Ja | Ja | Ja | Ja | Ja |
Weitere Informationen zur Windows-Lizenzierung finden Sie unter Übersicht über die Windows-Lizenzierung.
Praktische Anwendungsfälle
Administratoren, die die unterstützte Windows-Version verwenden, können die Anwendung und Verwaltung der Zugriffssteuerung auf Objekte und Subjekte optimieren, um die folgende Sicherheit zu gewährleisten:
- Schützen einer größeren Anzahl und Vielfalt von Netzwerkressourcen vor Missbrauch
- Bereitstellen von Benutzern für den Zugriff auf Ressourcen in einer Weise, die mit den Organisationsrichtlinien und den Anforderungen ihrer Aufträge übereinstimmt
- Benutzern den Zugriff auf Ressourcen von verschiedenen Geräten an zahlreichen Standorten ermöglichen
- Aktualisieren der Fähigkeit von Benutzern, regelmäßig auf Ressourcen zuzugreifen, wenn sich die Richtlinien eines organization ändern oder sich die Aufträge der Benutzer ändern
- Berücksichtigen Sie eine wachsende Anzahl von Verwendungsszenarien (z. B. zugriff von Remotestandorten oder von einer schnell wachsenden Vielzahl von Geräten wie Tablet-Computern und Mobiltelefonen).
- Identifizieren und Beheben von Zugriffsproblemen, wenn berechtigte Benutzer nicht auf Ressourcen zugreifen können, die sie für ihre Aufgaben benötigen
Berechtigungen
Berechtigungen definieren die Art des Zugriffs, der einem Benutzer oder einer Gruppe für ein Objekt oder eine Objekteigenschaft gewährt wird. Beispielsweise kann der Finanzgruppe Lese- und Schreibberechtigungen für eine Datei mit dem Namen Payroll.dat erteilt werden.
Mithilfe der Benutzeroberfläche für die Zugriffssteuerung können Sie NTFS-Berechtigungen für Objekte wie Dateien, Active Directory-Objekte, Registrierungsobjekte oder Systemobjekte wie Prozesse festlegen. Berechtigungen können jedem Benutzer, jeder Gruppe oder jedem Computer erteilt werden. Es empfiehlt sich, Gruppen Berechtigungen zuzuweisen, da dadurch die Systemleistung beim Überprüfen des Zugriffs auf ein Objekt verbessert wird.
Für jedes Objekt können Sie Berechtigungen erteilen für:
- Gruppen, Benutzer und andere Objekte mit Sicherheitskennungen in der Domäne.
- Gruppen und Benutzer in dieser Domäne und alle vertrauenswürdigen Domänen.
- Lokale Gruppen und Benutzer auf dem Computer, auf dem sich das Objekt befindet.
Die an ein Objekt angehängten Berechtigungen hängen vom Objekttyp ab. Beispielsweise unterscheiden sich die Berechtigungen, die an eine Datei angehängt werden können, von denen, die an einen Registrierungsschlüssel angehängt werden können. Einige Berechtigungen gelten jedoch für die meisten Objekttypen. Die folgenden allgemeinen Berechtigungen sind:
- Lesen
- Ändern
- Besitzer ändern
- Löschen
Wenn Sie Berechtigungen festlegen, geben Sie die Zugriffsebene für Gruppen und Benutzer an. Sie können beispielsweise einen Benutzer den Inhalt einer Datei lesen lassen, einen anderen Benutzer Änderungen an der Datei vornehmen lassen und verhindern, dass alle anderen Benutzer auf die Datei zugreifen. Sie können ähnliche Berechtigungen für Drucker festlegen, sodass bestimmte Benutzer den Drucker konfigurieren und andere Benutzer nur drucken können.
Wenn Sie die Berechtigungen für eine Datei ändern müssen, können Sie Windows Explorer ausführen, mit der rechten Maustaste auf den Dateinamen klicken und Eigenschaften auswählen. Auf der Registerkarte Sicherheit können Sie die Berechtigungen für die Datei ändern. Weitere Informationen finden Sie unter Verwalten von Berechtigungen.
Hinweis:
Eine andere Art von Berechtigungen, die als Freigabeberechtigungen bezeichnet wird, wird auf der Registerkarte Freigabe auf der Seite Eigenschaften eines Ordners oder mithilfe des Assistenten für freigegebene Ordner festgelegt. Weitere Informationen finden Sie unter Freigeben und NTFS-Berechtigungen auf einem Dateiserver.
Besitz von Objekten
Ein Besitzer wird einem Objekt zugewiesen, wenn dieses Objekt erstellt wird. Standardmäßig ist der Besitzer der Ersteller des Objekts. Unabhängig davon, welche Berechtigungen für ein Objekt festgelegt sind, kann der Besitzer des Objekts die Berechtigungen jederzeit ändern. Weitere Informationen finden Sie unter Verwalten des Objektbesitzes.
Vererbung von Berechtigungen
Durch die Vererbung können Administratoren Berechtigungen einfach zuweisen und verwalten. Diese Funktion bewirkt automatisch, dass Objekte in einem Container alle vererbbaren Berechtigungen dieses Containers erben. Beispielsweise erben die Dateien in einem Ordner die Berechtigungen des Ordners. Nur als geerbt markierte Berechtigungen werden geerbt.
Benutzerrechte
Benutzerrechte gewähren Benutzern und Gruppen in Ihrer Computerumgebung bestimmte Berechtigungen und Anmelderechte. Administratoren können Gruppenkonten oder einzelnen Benutzerkonten bestimmte Rechte zuweisen. Diese Rechte berechtigen Benutzer, bestimmte Aktionen auszuführen, z. B. die interaktive Anmeldung bei einem System oder das Sichern von Dateien und Verzeichnissen.
Benutzerrechte unterscheiden sich von Berechtigungen, da Benutzerrechte für Benutzerkonten gelten und Berechtigungen Objekten zugeordnet sind. Obwohl Benutzerrechte für einzelne Benutzerkonten gelten können, werden Benutzerrechte am besten auf Gruppenkontobasis verwaltet. Auf der Benutzeroberfläche der Zugriffssteuerung wird das Gewähren von Benutzerrechten nicht unterstützt. Die Zuweisung von Benutzerrechten kann jedoch über die lokalen Sicherheitseinstellungen verwaltet werden.
Weitere Informationen zu Benutzerrechten finden Sie unter Zuweisung von Benutzerrechten.
Objektprüfung
Mit Administratorrechten können Sie den erfolgreichen oder fehlgeschlagenen Zugriff von Benutzern auf Objekte überwachen. Sie können über die Benutzeroberfläche der Zugriffssteuerung auswählen, welcher Objektzugriff überwacht werden soll. Zunächst müssen Sie die Überwachungsrichtlinie aktivieren, indem Sie unter Lokale Richtlinien in Lokale Sicherheitseinstellungen die Option Überwachungsobjektzugriff auswählen. Sie können diese sicherheitsrelevanten Ereignisse dann im Sicherheitsprotokoll in der Ereignisanzeige anzeigen.
Weitere Informationen zur Überwachung finden Sie unter Übersicht über die Sicherheitsüberwachung.
Weitere Informationen
Weitere Informationen zur Zugriffskontrolle und Autorisierung finden Sie unter Übersicht über Zugriffssteuerung und Autorisierung.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für