Обзор управления доступом

Область применения

  • Windows 10
  • Windows Server 2016

В этом разделе для ИТ-специалистов описывается управление доступом в Windows, которое является процессом авторизации пользователей, групп и компьютеров для доступа к объектам в сети или на компьютере. Основными понятиями, которые являются управление доступом, являются разрешения, владение объектами, наследование разрешений, права пользователя и аудит объектов.

Описание компонента

Компьютеры с поддерживаемой версией Windows могут управлять использованием системных и сетевых ресурсов с помощью взаимосвязанных механизмов проверки подлинности и авторизации. После проверки подлинности пользователя операционная система Windows использует встроенные технологии авторизации и контроля доступа для реализации второго этапа защиты ресурсов: определения того, имеет ли прошедший проверку подлинности пользователь правильные разрешения на доступ к ресурсу.

Общие ресурсы доступны пользователям и группам, кроме владельца ресурса, и их необходимо защитить от несанкционированного использования. В модели управления доступом пользователи и группы (также называемые субъектами безопасности) представлены уникальными идентификаторами безопасности (SID). Им назначаются права и разрешения, которые сообщают операционной системе, что может делать каждый пользователь и группа. У каждого ресурса есть владелец, который предоставляет разрешения субъектам безопасности. Во время проверки контроля доступа эти разрешения проверяются, чтобы определить, какие субъекты безопасности могут получить доступ к ресурсу и как они могут получить к нему доступ.

Субъекты безопасности выполняют действия (включая чтение, запись, изменение или полный контроль) с объектами. К объектам относятся файлы, папки, принтеры, разделы реестра и доменные службы Active Directory (AD DS). Общие ресурсы используют списки управления доступом (ACL) для назначения разрешений. Это позволяет диспетчерам ресурсов применять управление доступом следующими способами:

  • Запрет доступа неавторизованных пользователей и групп

  • Установка четко определенных ограничений на доступ, предоставляемый авторизованными пользователям и группам

Владельцы объектов обычно предоставляют разрешения группам безопасности, а не отдельным пользователям. Пользователи и компьютеры, добавленные в существующие группы, предполагают разрешения этой группы. Если объект (например, папка) может содержать другие объекты (например, вложенные папки и файлы), он называется контейнером. В иерархии объектов связь между контейнером и его содержимым выражается ссылкой на контейнер в качестве родительского. Объект в контейнере называется дочерним, и дочерний элемент наследует параметры управления доступом родительского элемента. Владельцы объектов часто определяют разрешения для объектов контейнеров, а не отдельных дочерних объектов, чтобы упростить управление доступом.

Этот набор содержимого содержит:

Практическое применение

Администраторы, использующие поддерживаемую версию Windows, могут уточнить приложение и управление доступом к объектам и субъектам, чтобы обеспечить следующую безопасность:

  • Защитите большее количество и разнообразие сетевых ресурсов от неправильного использования.

  • Подготовка пользователей к доступу к ресурсам в соответствии с политиками организации и требованиями их заданий.

  • Предоставление пользователям доступа к ресурсам с различных устройств в различных расположениях.

  • Регулярно обновляйте доступ пользователей к ресурсам по мере изменения политик организации или изменения заданий пользователей.

  • С учетом растущего числа сценариев использования (таких как доступ из удаленных расположений или с быстро расширяемого множества устройств, таких как планшетные компьютеры и мобильные телефоны).

  • Выявляйте и устраняйте проблемы с доступом, когда допустимые пользователи не могут получить доступ к ресурсам, которые им необходимы для выполнения своих заданий.

Разрешения

Разрешения определяют тип доступа, предоставляемого пользователю или группе для объекта или свойства объекта. Например, группе Finance можно предоставить разрешения на чтение и запись для файла с именем Payroll.dat.

С помощью пользовательского интерфейса управления доступом можно задать разрешения NTFS для таких объектов, как файлы, объекты Active Directory, объекты реестра или системные объекты, такие как процессы. Разрешения могут быть предоставлены любому пользователю, группе или компьютеру. Рекомендуется назначать разрешения группам, так как это повышает производительность системы при проверке доступа к объекту.

Для любого объекта можно предоставить разрешения на:

  • Группы, пользователи и другие объекты с идентификаторами безопасности в домене.

  • Группы и пользователи в этом домене и все доверенные домены.

  • Локальные группы и пользователи на компьютере, где находится объект.

Разрешения, присоединенные к объекту, зависят от типа объекта. Например, разрешения, которые можно вложить в файл, отличаются от разрешений, которые можно вложить в раздел реестра. Однако некоторые разрешения являются общими для большинства типов объектов. Ниже перечислены распространенные разрешения.

  • Read

  • Изменить

  • Изменение владельца

  • Delete

При установке разрешений указывается уровень доступа для групп и пользователей. Например, можно разрешить одному пользователю считывать содержимое файла, разрешить другому пользователю вносить изменения в файл и запретить другим пользователям доступ к файлу. Вы можете задать аналогичные разрешения на принтерах, чтобы определенные пользователи могли настраивать принтер, а другие пользователи могли только печатать.

Если необходимо изменить разрешения для файла, можно запустить проводник Windows, щелкнуть правой кнопкой мыши имя файла и нажать кнопку "Свойства". На вкладке " Безопасность" можно изменить разрешения для файла. Дополнительные сведения см. в разделе "Управление разрешениями".

Примечание.
Еще один тип разрешений, называемый разрешениями общего доступа, задается на вкладке "Общий доступ" на странице **** свойств папки или с помощью мастера общих папок. Дополнительные сведения см. в разделе "Разрешения на общий доступ и NTFS на файловом сервере".

Владение объектами

Владелец назначается объекту при его создании. По умолчанию владельцем объекта является владелец. Независимо от того, какие разрешения задано для объекта, владелец объекта всегда может изменить разрешения. Дополнительные сведения см. в разделе "Управление владением объектом".

Наследование разрешений

Наследование позволяет администраторам легко назначать разрешения и управлять ими. Эта функция автоматически приводит к тому, что объекты в контейнере наследуют все наследуемые разрешения этого контейнера. Например, файлы в папке наследуют разрешения папки. Наследуются только разрешения, помеченные для наследования.

Права пользователя

Права пользователя предоставляют определенные привилегии и права входа пользователям и группам в вычислительной среде. Администраторы могут назначать определенные права учетным записям групп или отдельным учетным записям пользователей. Эти права разрешает пользователям выполнять определенные действия, такие как вход в систему в интерактивном режиме или резервное копирование файлов и каталогов.

Права пользователя отличаются от разрешений, так как права пользователя применяются к учетным записям пользователей, а разрешения связаны с объектами. Хотя права пользователей могут применяться к отдельным учетным записям пользователей, права пользователей лучше всего администрировать на основе учетной записи группы. В пользовательском интерфейсе управления доступом не поддерживается предоставление прав пользователя. Однако назначение прав пользователя можно администрировать с помощью локальных параметров безопасности.

Дополнительные сведения о правах пользователей см. в разделе "Назначение прав пользователя".

Аудит объектов

С правами администратора можно выполнять аудит успешного или неудачного доступа пользователей к объектам. Вы можете выбрать, какой объект имеет доступ к аудиту, с помощью пользовательского интерфейса управления доступом, но сначала необходимо включить политику **** аудита, выбрав "Аудит доступа к объекту" в разделе " Локальные политики" в локальных параметрах безопасности. Затем эти события, связанные с безопасностью, можно просмотреть в журнале безопасности в Просмотр событий.

Дополнительные сведения об аудите см. в разделе "Обзор аудита безопасности".

См. также

  • Дополнительные сведения об управлении доступом и авторизации см. в контроль доступа и обзоре авторизации.