访问控制概述

• 适用于:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

本文介绍 Windows 中的访问控制，即授权用户、组和计算机访问网络或计算机上的对象的过程。 构成访问控制的关键概念包括：

• 权限
• 对象的所有权
• 权限继承
• 用户权限
• 对象审核

运行受支持版本的 Windows 的计算机可以通过身份验证和授权的相关机制来控制系统和网络资源的使用。 对用户进行身份验证后，Windows 操作系统使用内置授权和访问控制技术来实现保护资源的第二阶段：确定经过身份验证的用户是否具有访问资源的正确权限。

共享资源可供资源所有者以外的用户和组使用，需要保护它们免受未经授权的使用。 在访问控制模型中，用户和组 (也称为安全主体) 由 SID) 唯一安全标识符 (表示。 他们被分配有权限，告知操作系统每个用户和组可以执行的操作。 每个资源都有一个向安全主体授予权限的所有者。 在访问控制检查期间，将检查这些权限，以确定哪些安全主体可以访问资源以及如何访问资源。

安全主体执行 (操作，包括对象上的读取、写入、修改或完全控制) 。 对象包括文件、文件夹、打印机、注册表项和Active Directory 域服务 (AD DS) 对象。 共享资源使用访问控制列表 (ACL) 分配权限。 这使资源管理器能够通过以下方式强制实施访问控制：

• 拒绝对未经授权的用户和组的访问
• 对提供给授权用户和组的访问设置定义完善的限制

对象所有者通常向安全组而不是单个用户授予权限。 添加到现有组的用户和计算机采用该组的权限。 如果对象 (（如文件夹) ）可以容纳其他对象 (，例如子文件夹和文件) ，则称为容器。 在对象的层次结构中，容器与其内容之间的关系是通过将容器引用为父级来表示的。 容器中的对象称为子级，子级继承父级的访问控制设置。 对象所有者通常为容器对象（而不是单个子对象）定义权限，以简化访问控制管理。

此内容集包含：

• 动态访问控制概述
• 安全标识符
• 安全主体
  • 本地帐户
  • Active Directory 帐户
  • Microsoft 帐户
  • 服务帐户
  • Active Directory 安全组

Windows 版本和许可要求

下表列出了支持 访问控制 (ACL/SACL) 的 Windows 版本：

Windows 专业版	Windows 企业版	Windows 专业教育版/SE	Windows 教育版
是	是	是	是

访问控制 (ACL/SACL) 许可证权利由以下许可证授予：

Windows 专业版/专业教育版/SE	Windows 企业版 E3	Windows 企业版 E5	Windows 教育版 A3	Windows 教育版 A5
是	是	是	是	是

有关 Windows 许可的详细信息，请参阅 Windows 许可概述。

实际应用程序

使用受支持版本的 Windows 的管理员可以优化对对象和主题的应用程序和管理访问控制，以提供以下安全性：

• 防止滥用大量和多种网络资源
• 将用户设置为以符合组织策略和作业要求的方式访问资源
• 使用户能够从多个位置的各种设备访问资源
• 随着组织策略的更改或用户作业的更改，更新用户定期访问资源的能力
• 考虑到越来越多的使用方案 (，例如从远程位置或从快速扩展的各种设备（如平板电脑和移动电话）进行访问)
• 识别并解决合法用户无法访问执行作业所需的资源时的访问问题

权限

权限定义授予用户或组的对象或对象属性的访问权限类型。 例如，可以向 Finance 组授予对名为 Payroll.dat 的文件的读取和写入权限。

通过使用访问控制用户界面，可以为文件、Active Directory 对象、注册表对象或进程等系统对象等对象设置 NTFS 权限。 可以向任何用户、组或计算机授予权限。 将权限分配给组是一种很好的做法，因为在验证对对象的访问权限时，它可以提高系统性能。

对于任何对象，可以授予以下权限：

• 域中具有安全标识符的组、用户和其他对象。
• 该域中的组和用户以及任何受信任的域。
• 对象所在的计算机上的本地组和用户。

附加到对象的权限取决于对象的类型。 例如，可附加到文件的权限不同于可附加到注册表项的权限。 但是，某些权限对大多数类型的对象都是通用的。 这些常见权限包括：

• 已阅读
• 修改
• 更改所有者
• 删除

设置权限时，可以指定组和用户的访问权限级别。 例如，你可以让一个用户读取文件的内容，让另一个用户对文件进行更改，并阻止所有其他用户访问该文件。 可以在打印机上设置类似的权限，以便某些用户可以配置打印机，而其他用户只能打印。

需要更改对文件的权限时，可以运行 Windows 资源管理器，右键单击文件名，然后选择 “属性”。 在“ 安全性 ”选项卡上，可以更改对文件的权限。 有关详细信息，请参阅 管理权限。

注意

在文件夹的 “属性 ”页的“共享”选项卡上或使用共享文件夹向导设置另一种权限，称为“共享权限”。 有关详细信息，请参阅 文件服务器上的共享和 NTFS 权限。

对象的所有权

创建对象时，会向该对象分配所有者。 默认情况下，所有者是对象的创建者。 无论对对象设置了什么权限，该对象的所有者始终可以更改权限。 有关详细信息，请参阅 管理对象所有权。

权限继承

继承允许管理员轻松分配和管理权限。 此功能自动使容器中的对象继承该容器的所有可继承权限。 例如，文件夹中的文件继承文件夹的权限。 仅继承标记为继承的权限。

用户权限

用户权限向计算环境中的用户和组授予特定特权和登录权限。 管理员可以将特定权限分配给组帐户或单个用户帐户。 这些权限授权用户执行特定操作，例如以交互方式登录到系统或备份文件和目录。

用户权限不同于权限，因为用户权限应用于用户帐户，并且权限与对象相关联。 尽管用户权限可以应用于单个用户帐户，但最好在组帐户的基础上管理用户权限。 访问控制用户界面不支持授予用户权限。 但是，可以通过 本地安全设置管理用户权限分配。

有关用户权限的详细信息，请参阅 用户权限分配。

对象审核

使用管理员权限，可以审核用户是否成功访问对象。 可以使用访问控制用户界面选择要审核的对象访问权限，但首先必须在“本地安全设置”中的“本地策略”下选择“审核对象访问”来启用审核策略。 然后，可以在事件查看器的安全日志中查看这些与安全相关的事件。

有关审核的详细信息，请参阅 安全审核概述。

另请参阅

有关访问控制和授权的详细信息，请参阅访问控制和授权概述。