Übersicht über die Zugriffssteuerung

Betrifft

  • Windows10
  • Windows Server 2016

In diesem Thema für den IT-Experten wird die Zugriffssteuerung in Windows beschrieben, bei der Benutzer, Gruppen und Computer für den Zugriff auf Objekte im Netzwerk oder Computer autorisiert werden. Schlüsselkonzepte, die die Zugriffssteuerung ausmachen, sind Berechtigungen, Besitz von Objekten, Vererbung von Berechtigungen, Benutzerrechte und Objektüberwachung.

Featurebeschreibung

Auf Computern, auf denen eine unterstützte Version von Windows ausgeführt wird, kann die Verwendung von System-und Netzwerkressourcen über die miteinander verknüpften Authentifizierungs-und Autorisierungsmechanismen gesteuert werden. Nachdem ein Benutzer authentifiziert wurde, verwendet das Windows-Betriebssystem integrierte Autorisierungs-und Zugriffssteuerungstechnologien, um die zweite Phase des Schutzes von Ressourcen zu implementieren: ermitteln, ob ein authentifizierter Benutzer über die richtigen Berechtigungen für den Zugriff auf eine Ressource verfügt.

Freigegebene Ressourcen stehen Benutzern und Gruppen außer dem Besitzer der Ressource zur Verfügung und müssen vor unbefugter Verwendung geschützt werden. Im Modell für die Zugriffssteuerung werden Benutzer und Gruppen (auch als "Sicherheitsprinzipale" bezeichnet) durch eindeutige Sicherheits-IDs (SIDs) dargestellt. Ihnen werden Rechte und Berechtigungen zugewiesen, die das Betriebssystem informieren, was die einzelnen Benutzer und Gruppen tun können. Jede Ressource verfügt über einen Besitzer, der Sicherheitsprinzipalen Berechtigungen gewährt. Während der Zugriffs Kontroll Überprüfung werden diese Berechtigungen überprüft, um zu ermitteln, welche Sicherheitsprinzipale auf die Ressource zugreifen können und wie Sie darauf zugreifen können.

Sicherheitsprinzipale führen Aktionen (einschließlich lesen, schreiben, ändern oder Vollzugriff) für Objekte aus. Objekte umfassen Dateien, Ordner, Drucker, Registrierungsschlüssel und Active Directory-Domänendienste (AD DS)-Objekte. Freigegebene Ressourcen verwenden Zugriffssteuerungslisten (ACLs), um Berechtigungen zuzuweisen. Auf diese Weise können Ressourcenmanager die Zugriffssteuerung wie folgt erzwingen:

  • Verweigern des Zugriffs auf nicht autorisierte Benutzer und Gruppen

  • Festlegen von klar definierten Grenzwerten für den Zugriff, der für autorisierte Benutzer und Gruppen bereitgestellt wird

Objektbesitzer erteilen im allgemeinen Berechtigungen für Sicherheitsgruppen und nicht für einzelne Benutzer. Benutzer und Computer, die vorhandenen Gruppen hinzugefügt werden, übernehmen die Berechtigungen dieser Gruppe. Wenn ein Objekt (beispielsweise ein Ordner) andere Objekte (wie Unterordner und Dateien) enthalten kann, wird es als Container bezeichnet. In einer Hierarchie von Objekten wird die Beziehung zwischen einem Container und dessen Inhalt durch Verweisen auf den Container als übergeordnetes Element ausgedrückt. Ein Objekt im Container wird als untergeordnetes Element bezeichnet, und das untergeordnete Element erbt die Zugriffssteuerungseinstellungen des übergeordneten Elements. Objektbesitzer definieren häufig Berechtigungen für Containerobjekte anstelle einzelner untergeordneter Objekte, um die Verwaltung von Zugriffssteuerungen zu vereinfachen.

Dieser Inhaltssatz enthält:

Praktische Anwendungsfälle

Administratoren, die die unterstützte Version von Windows verwenden, können die Anwendung und Verwaltung der Zugriffssteuerung auf Objekte und Themen einschränken, um die folgende Sicherheit zu gewährleisten:

  • Schützen Sie eine größere Anzahl und Vielfalt von Netzwerkressourcen vor Missbrauch.

  • Bereitstellen von Benutzern für den Zugriff auf Ressourcen auf eine Weise, die mit den Organisationsrichtlinien und den Anforderungen ihrer Aufgaben in Einklang steht.

  • Ermöglichen Sie Benutzern den Zugriff auf Ressourcen von einer Vielzahl von Geräten an verschiedenen Standorten.

  • Aktualisieren Sie die Benutzer Fähigkeit, regelmäßig auf Ressourcen zuzugreifen, wenn sich die Richtlinien einer Organisation ändern oder sich die Aufgaben der Benutzer ändern.

  • Berücksichtigen Sie eine wachsende Zahl von Nutzungsszenarien (wie Zugriff von Remotestandorten oder von einer schnell wachsenden Vielzahl von Geräten wie Tablet-Computern und Mobiltelefonen).

  • Identifizieren und Beheben von Zugriffsproblemen, wenn legitime Benutzer nicht auf Ressourcen zugreifen können, die Sie zum Ausführen ihrer Aufgaben benötigen.

Berechtigungen

Berechtigungen definieren den Typ des Zugriffs, der einem Benutzer oder einer Gruppe für ein Objekt oder eine Objekteigenschaft gewährt wird. Beispielsweise kann der Gruppe "Finanzen" Lese-und Schreibberechtigungen für eine Datei mit dem Namen Payroll. dat gewährt werden.

Mithilfe der Benutzeroberfläche für die Zugriffssteuerung können Sie NTFS-Berechtigungen für Objekte wie Dateien, Active Directory-Objekte, Registrierungsobjekte oder Systemobjekte wie Prozesse festlegen. Berechtigungen können Benutzern, Gruppen oder Computern gewährt werden. Es empfiehlt sich, Gruppen Berechtigungen zuzuweisen, da dadurch die Systemleistung verbessert wird, wenn der Zugriff auf ein Objekt überprüft wird.

Für jedes Objekt können Sie folgende Berechtigungen erteilen:

  • Gruppen, Benutzer und andere Objekte mit Sicherheitskennungen in der Domäne.

  • Gruppen und Benutzer in dieser Domäne und alle vertrauenswürdigen Domänen.

  • Lokale Gruppen und Benutzer auf dem Computer, auf dem sich das Objekt befindet.

Die an ein Objekt angefügten Berechtigungen hängen vom Typ des Objekts ab. Beispielsweise unterscheiden sich die Berechtigungen, die an eine Datei angefügt werden können, von denen, die an einen Registrierungsschlüssel angefügt werden können. Einige Berechtigungen sind jedoch für die meisten Objekttypen üblich. Diese allgemeinen Berechtigungen lauten wie folgt:

  • Lesen

  • Ändern

  • Besitzer ändern

  • Delete

Wenn Sie Berechtigungen festlegen, geben Sie die Zugriffsebene für Gruppen und Benutzer an. So können Sie beispielsweise zulassen, dass ein Benutzer den Inhalt einer Datei liest, dass ein anderer Benutzer Änderungen an der Datei vorzunehmen und alle anderen Benutzer daran hindern, auf die Datei zuzugreifen. Sie können ähnliche Berechtigungen für Drucker festlegen, damit bestimmte Benutzer den Drucker konfigurieren können und andere Benutzer nur drucken können.

Wenn Sie die Berechtigungen für eine Datei ändern müssen, können Sie Windows-Explorer ausführen, mit der rechten Maustaste auf den Dateinamen klicken und dann auf Eigenschaftenklicken. Auf der Registerkarte Sicherheit können Sie die Berechtigungen für die Datei ändern. Weitere Informationen finden Sie unter Verwalten von Berechtigungen.

Hinweis eine andere Art von Berechtigungen, so genannte Freigabeberechtigungen, wird auf der Registerkarte Freigabe der Eigenschaften Seite eines Ordners oder mithilfe des Assistenten für freigegebene Ordner festgesetzt. Weitere Informationen finden Sie unter Freigabe-und NTFS-Berechtigungen auf einem Datei Server.

Besitz von Objekten

Ein Besitzer wird einem Objekt zugewiesen, wenn dieses Objekt erstellt wird. Standardmäßig ist der Besitzer der Ersteller des Objekts. Unabhängig davon, welche Berechtigungen für ein Objekt eingestellt werden, kann der Besitzer des Objekts immer die Berechtigungen ändern. Weitere Informationen finden Sie unter Verwalten des Objektbesitzes.

Vererbung von Berechtigungen

Durch Vererbung können Administratoren Berechtigungen einfach zuweisen und verwalten. Dieses Feature bewirkt automatisch, dass Objekte in einem Container alle vererbbaren Berechtigungen dieses Containers erben. Beispielsweise erben die Dateien in einem Ordner die Berechtigungen des Ordners. Nur Berechtigungen, die als geerbt markiert sind, werden geerbt.

Benutzerrechte

Benutzerrechte gewähren Benutzern und Gruppen in Ihrer Computerumgebung bestimmte Berechtigungen und Anmelderechte. Administratoren können bestimmte Rechte für Gruppenkonten oder einzelne Benutzerkonten zuweisen. Diese Rechte autorisieren Benutzern, bestimmte Aktionen auszuführen, wie beispielsweise die interaktive Anmeldung bei einem System oder das Sichern von Dateien und Verzeichnissen.

Benutzerrechte unterscheiden sich von den Berechtigungen, da Benutzerrechte für Benutzerkonten gelten und den Objekten Berechtigungen zugeordnet sind. Obwohl Benutzerrechte auf einzelne Benutzerkonten zutreffen können, werden Benutzerrechte am besten auf der Basis eines Gruppenkontos verwaltet. Die Benutzeroberfläche der Zugriffssteuerung bietet keine Unterstützung, um Benutzerrechte zu gewähren. Die Zuweisung von Benutzerrechten kann jedoch über Lokale Sicherheitseinstellungenverwaltet werden.

Weitere Informationen zu Benutzerrechten finden Sie unter Zuweisen von Benutzerrechten.

Objektüberwachung

Mit den Berechtigungen des Administrators können Sie den erfolgreichen oder fehlgeschlagenen Zugriff von Benutzern auf Objekte überwachen. Sie können mithilfe der Benutzeroberfläche für die Zugriffssteuerung auswählen, welcher Objektzugriff überwacht werden soll, doch müssen Sie zuerst die Überwachungsrichtlinie aktivieren, indem Sie unter lokale Richtlinien in den lokalen Sicherheitseinstellungendie Option Überwachungsobjektzugriff auswählen. Sie können diese sicherheitsrelevanten Ereignisse dann im Sicherheitsprotokoll in der Ereignisanzeige anzeigen.

Weitere Informationen zur Überwachung finden Sie unter Übersicht über die Sicherheitsüberwachung.

Weitere Informationen: