訪問控制概觀

• 適用於:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

本文說明 Windows 中的訪問控制，這是授權使用者、群組和計算機存取網路或計算機上物件的程式。 組成存取控制的主要概念包括：

• 許可權
• 對象的擁有權
• 許可權的繼承
• 用戶權力
• 物件稽核

執行支援 Windows 版本的電腦可以透過相互關聯的驗證和授權機制來控制系統和網路資源的使用。 驗證用戶之後，Windows 操作系統會使用內建授權和訪問控制技術來實作保護資源的第二個階段：判斷已驗證的使用者是否具有正確的資源存取許可權。

共用資源可供資源擁有者以外的使用者和群組使用，而且必須保護它們免於未經授權的使用。 在訪問控制模型中，使用者和群組 (也稱為安全性主體) 會以唯一的安全標識碼 (SID) 來表示。 系統會指派許可權和許可權，以通知操作系統每個使用者和群組可以執行的動作。 每個資源都有一個擁有者，可將許可權授與安全性主體。 在訪問控制檢查期間，系統會檢查這些許可權，以判斷哪些安全性主體可以存取資源，以及其存取方式。

安全性主體會 (執行動作，包括對象的讀取、寫入、修改或完全控制) 。 物件包括檔案、資料夾、印表機、登錄機碼，以及 #DA8CDDC33C6F94F21A3C0D4D95E5965B1 (AD DS) 物件。 共用資源會使用訪問控制清單 (ACL) 來指派許可權。 這可讓資源管理員以下列方式強制執行存取控制：

• 拒絕存取未經授權的使用者和群組
• 針對提供給授權使用者和群組的存取設定妥善定義的限制

對象擁有者通常會將許可權授與安全組，而不是授與個別使用者。 新增至現有群組的使用者和計算機會採用該群組的許可權。 如果資料夾等物件 () 可以保存其他物件 (例如子資料夾和檔案) ，則稱為容器。 在物件階層中，容器與其內容之間的關聯性是以容器為父代來表示。 容器中的對象稱為子系，而子系會繼承父系的訪問控制設定。 對象擁有者通常會定義容器對象的許可權，而不是個別的子物件，以簡化訪問控制管理。

此內容集包含：

• 動態存取控制概觀
• 安全性識別碼
• 安全性主體
  • 本機帳戶
  • Active Directory 帳戶
  • Microsoft 帳戶
  • 服務帳戶
  • Active Directory 安全性群組

Windows 版本和授權需求

下表列出支援 ACL/SACL) 存取控制 (Windows 版本：

Windows 專業版	Windows 企業版	Windows 專業教育版/SE	Windows 教育版
是	是	是	是

存取控制 (ACL/SACL) 授權權利是由下列授權授與：

Windows 專業版/專業教育版/SE	Windows 企業版 E3	Windows 企業版 E5	Windows 教育版 A3	Windows 教育版 A5
是	是	是	是	是

如需 Windows 授權的詳細資訊，請參閱 Windows 授權概觀。

實際應用

使用支援的 Windows 版本的系統管理員可以精簡對象和主體的存取控制應用程式和管理，以提供下列安全性：

• 保護更多數目和各種網路資源免於誤用
• 以符合組織原則及其作業需求的方式布建使用者以存取資源
• 讓用戶能夠從許多位置的各種裝置存取資源
• 當組織的原則變更或使用者的工作變更時，更新使用者定期存取資源的能力
• 請考慮越來越多的使用案例 (例如從遠端位置或快速擴充的各種裝置存取，例如平板電腦和行動電話)
• 識別並解決合法用戶無法存取執行其作業所需的資源時的存取問題

權限

許可權會定義授與物件或物件屬性之使用者或群組的存取類型。 例如，可以為名為 Payroll.dat 的檔案授與 Finance 群組讀取和寫入許可權。

藉由使用存取控制使用者介面，您可以設定物件的NTFS許可權，例如檔案、Active Directory 物件、登錄物件或系統物件，例如進程。 您可以將許可權授與任何使用者、群組或計算機。 將許可權指派給群組是不錯的做法，因為它可改善驗證物件存取權時的系統效能。

對於任何物件，您可以將許可權授與：

• 在網域中具有安全標識碼的群組、使用者和其他物件。
• 該網域和任何受信任網域中的群組和使用者。
• 物件所在電腦上的本機群組和使用者。

附加至對象的許可權取決於物件的類型。 例如，可以附加至檔案的許可權與可附加至登錄機碼的許可權不同。 不過，某些許可權對大部分類型的物件而言很常見。 這些常見的許可權包括：

• 讀取
• 修改
• 變更擁有者
• 刪除

當您設定權限時，您可以指定群組和使用者的存取層級。 例如，您可以讓一位使用者讀取檔案的內容、讓另一個使用者對檔案進行變更，以及防止所有其他使用者存取檔案。 您可以在印表機上設定類似的許可權，讓某些使用者可以設定印表機，而其他使用者只能列印。

當您需要變更檔案的許可權時，可以執行 Windows 檔案總管、以滑鼠右鍵按兩下檔名，然後選取 [ 屬性]。 在 [ 安全性] 索引標籤上，您可以變更檔案的許可權。 如需詳細資訊，請 參閱管理許可權。

注意

另一種稱為共用許可權的許可權是在資料夾的 [ 屬性 ] 頁面的 [共用] 索引標籤上設定，或使用 [共用資料夾精靈] 來設定。 如需詳細資訊，請 參閱文件伺服器上的共用和NTFS許可權。

對象的擁有權

建立該物件時，會將擁有者指派給物件。 根據預設，擁有者是物件的建立者。 無論對象上設定了哪些許可權，對象的擁有者一律可以變更許可權。 如需詳細資訊，請 參閱管理對象擁有權。

許可權繼承

繼承可讓系統管理員輕鬆地指派和管理許可權。 這項功能會自動使容器內的物件繼承該容器的所有可繼承許可權。 例如，資料夾內的檔案會繼承資料夾的許可權。 只會繼承標示為要繼承的許可權。

用戶權力

用戶權力會將特定許可權和登入許可權授與您運算環境中的使用者和群組。 系統管理員可以將特定許可權指派給組帳戶或個別用戶帳戶。 這些許可權可授權使用者執行特定動作，例如以互動方式登入系統或備份檔案和目錄。

用戶權力與許可權不同，因為用戶權力會套用至用戶帳戶，而且許可權與對象相關聯。 雖然用戶權力可以套用至個別用戶帳戶，但用戶權力最好是以組帳戶為基礎來管理。 訪問控制使用者介面不支援授與用戶權力。 不過，用戶權力指派可以透過 本機安全性設定來管理。

如需用戶權力的詳細資訊，請參閱 用戶權力指派。

物件稽核

使用系統管理員的許可權，您可以稽核使用者成功或失敗的物件存取權。 您可以使用訪問控制使用者介面來選取要稽核的物件存取權，但首先您必須在 [本機安全性設定] 的 [本機原則] 下選取 [稽核物件存取] 來啟用審核策略。 然後，您可以在安全性記錄檔 事件檢視器 中檢視這些安全性相關事件。

如需稽核的詳細資訊，請參閱 安全性稽核概觀。

請參閱

如需訪問控制和授權的詳細資訊，請參閱 存取控制 和授權概觀。