يعتبر التحكم في الوصول هو عملية تخويل للمستخدمين والمجموعات وأجهزة الكمبيوتر للوصول إلى الكائنات الموجودة على الشبكة أو على الكمبيوتر.
لفهم التحكم في الوصول وإدارته، يجي أن تفهم العلاقة بين:
- الكائنات (الملفات والطابعات والموارد الأخرى)
- رموز الوصول
- قوائم التحكم بالوصول (ACLs) وإدخالات التحكم في الوصول (ACEs)
- الموضوعات (المستخدمون والتطبيقات)
- نظام التشغيل
- الأذونات
- حقوق المستخدم وامتيازاته
قبل أن يتم التمكن من الوصول إلى كائن ما، يجب أن يتم التعريف عن الذات للنظام الفرعي للأمان الخاص بنظام التشغيل. يتم تضمين هذه الهوية داخل رمز الوصول الذي يتم إعادة إنشاؤه في كل مرة يتم فيها تسجيل الدخول. وقبل السماح بالوصول إلى كائن ما، يقوم نظام التشغيل بالفحص لتحديد ما إذا كانت قد تمت المصادقة على رمز الوصول أم لا وذلك للوصول إلى الكائن وإنهاء المهمة المطلوبة. ويتم ذلك من خلال مقارنة المعلومات الموجودة في رمز الوصول بتلك الموجودة في إدخالات التحكم بالوصول (ACEs) الخاصة بالكائن.
يمكن لـ ACEs السماح بعدد من السلوكيات المختلفة أو رفضها، وذلك وفقاً لنوع الكائن. على سبيل المثال، من الممكن أن تتضمن الخيارات الموجودة على كائن الملف 'قراءة' و'كتابة' و'تنفيذ'. أما على الطابعة، فإن ACEs المتوفرة تتضمن 'طباعة' و'إدارة الطابعات' و'إدارة المستندات'.
يتم تجميع ACEs الفردية للكائن في قائمة التحكم في الوصول (ACL). يقوم النظام الفرعي للأمان بفحص قائمة التحكم في الوصول (ACL) الخاصة بالكائن لـ ACEs التي تنطبق على المستخدم والمجموعات التي ينتمي إليها المستخدم. فهو ينتقل فيما بين إدخالات ACE حتى يعثر على الإدخال الذي يسمح أو يرفض الوصول إلى المستخدم أو إحدى مجموعات المستخدم أو حتى لا يوجد المزيد من ACEs لفحصها. في حالة الوصول إلى نهاية قائمة التحكم في الوصول (ACL) ولم يتم السماح بالوصول المطلوب بشكل واضح أو رفضه، فإن النظام الفرعي للأمان يرفض الوصول إلى الكائن.
الأذونات
تقوم الأذونات بتعريف نوع الوصول الممنوح لمستخدم أو مجموعة إلى كائن أو إلى خاصية كائن. على سبيل المثال، يمكن منح المجموعة Finance أذونات "القراءة والكتابة" للملف payroll.dat.
ومن خلال استخدام واجهة المستخدم الخاصة بالتحكم في الوصول؛ يمكن تعيين أذونات NTFS لكائنات مثل الملفات، وكائنات Active Directory، وكائنات السجل، أو كائنات النظام كالعمليات. يمكن منح الأذونات لأي مستخدم أو مجموعة أو أي جهاز كمبيوتر. فهي تعتبر ممارسة جيدةلعملية تعيين أذونات للمجموعات، وذلك لأنها تطور أداء النظام عند التحقق من الوصول لأحد الكائنات.
لأي كائن، يمكن منح الأذونات إلى:
-
مجموعات ومستخدمين وكائنات أخرى مزودة بمعرفات أمان في المجال.
-
المجموعات والمستخدمين الموجودين في هذا المجال، وأي مجالات أخرى موثوق بها.
-
المجموعات المحلية والمستخدمين المحليين الموجودين على الكمبيوتر حيث يتواجد الكائن.
تعتمد الأذونات المرفقة بالكائن على نوع الكائن. على سبيل المثال، الأذونات التي يمكن إرفاقها بالملف تختلف عن تلك التي يمكن إرفاقها بمفتاح التسجيل. ومع ذلك، توجد بعض الأذونات المشتركة بين غالبية أنواع الكائنات. والأذونات المشتركة هي:
-
قراءة
-
تعديل
-
تغيير المالك
-
حذف
عندما تقوم بتعيين أذونات، يتم تحديد مستوى الوصول للمجموعات والمستخدمين. فمثلاًً، يمكنك السماح لمستخدم واحد بقراءة محتويات أحد الملفات، والسماح لمستخدم آخر بإجراء تغييرات في الملف، ومنع كافة المستخدمين الآخرين من الوصول إلى هذا الملف. كما يمكن تعيين أذونات مشابهة على الطابعات، بحيث يمكن لمستخدمين معينين تكوين الطابعة، ويمكن لمستخدمين آخرين إجراء الطباعة فقط.
عند الحاجة لتغيير الأذونات على أحد الملفات، يمكنك تشغيل مستكشف Windows، والنقر بالزر الأيمن للماوس فوق اسم الملف، والنقر فوق خصائص. ضمن علامة التبويب أمان، يمكنك تغيير الأذونات على الملف. لمزيد من المعلومات، راجع إدارة الأذونات.
 | ملاحظة |
|
يوجد نوع آخر من الأذونات، يسمى أذونات المشاركة، يتم تعيينه ضمن علامة التبويب المشاركة من الصفحة خصائص الموجودة بالمجلد، أو باستخدام 'معالج المجلد المشترك'. لمزيد من المعلومات، راجع المشاركة وأذونات NTFS على خادم الملفات. |
ملكية الكائنات
يتم تعيين مالك لكائن أثناء إنشاء ذلك الكائن. بشكل افتراضي، يكون المالك هو الشخص الذي أنشأ الكائن. وبغض النظر عن نوع الأذونات التي يتم تعيينها على الكائن، يمكن دومًا لمالك الكائن تغيير الأذونات على هذا الكائن. لمزيد من المعلومات، راجع إدارة ملكية الكائن.
وراثة الأذونات
تتيح وراثة الأذونات للمسؤولين إمكانية تعيين الأذونات وإدارتها بسهولة. حيث تؤدي هذه الميزة تلقائيًا إلى أن ترث الكائنات الموجودة في إحدى الحاويات كافة الأذونات القابلة للوراثة الخاصة بتلك الحاوية. فعلى سبيل المثال؛ ترث الملفات الموجودة ضمن أحد المجلدات الأذونات الخاصة بهذا المجلد وذلك عند إنشائها. حيث ترث الملفات الأذونات التي يتم تمييزها تمهيدًا لوراثتها فقط.
حقوق المستخدم وامتيازاته
تمنح حقوق المستخدم امتيازات معينة وحقوق تسجيل الدخول للمستخدمين والمجموعات في بيئة العمل. حيث يمكن للمسؤولين تعيين حقوق معينة لحسابات مجموعة أو لحسابات مستخدمين فرديين. وتخول هذه الحقوق للمستخدمين حق اتخاذ إجراءات معينة، مثل تسجيل الدخول إلى أحد الأنظمة بشكل تفاعلي، أو عمل نُسخ احتياطية للملفات والدلائل.
وتختلف حقوق المستخدم عن الأذونات؛ لأنه يتم تطبيق حقوق المستخدم على حسابات المستخدم، ويتم إرفاق الأذونات بالكائنات. ومع أنه يمكن أن يتم تطبيق حقوق المستخدم على حسابات المستخدم الفردية، فإن إدارة حقوق المستخدم تتم بشكل أفضل على أساس حساب المجموعة. لا يوجد أي دعم في واجهة المستخدم الخاصة بالتحكم في الوصول لمنح حقوق المستخدم؛ ومع ذلك، يمكن إدارة تعيين حقوق المستخدم من خلال الأداة الإضافية 'نهج أمان محلي' الموجودة ضمن النُهج المحلية/تعيين حقوق المستخدم. لمزيد من المعلومات، راجع حقوق المستخدم وامتيازاته.
تدقيق الكائن
يمكنك من خلال حقوق المسؤول؛ تدقيق الوصول الناجح أو الفاشل للمستخدم إلى الكائنات. حيث يمكنك تحديد نوع الوصول إلى الكائن المراد تدقيقه؛ وذلك باستخدام واجهة المستخدم الخاصة بالتحكم في الوصول، ولكن يجب عليك أولاً تمكين 'نهج التدقيق' بواسطة تحديد تدقيق الوصول إلى الكائنات ضمن النهج المحلي/نهج التدقيق/النُهج المحلية في الأداة الإضافية 'نهج أمان محلي'. حيث يمكنك حينئذ عرض هذه الأحداث المتعلقة بالأمان في 'سجل الأمان' الموجود في 'عارض الأحداث'.
مراجع إضافية
- لمزيد من المعلومات حول التخويل والتحكم بالوصول، راجع
مجموعات أمان Windows (متوفر بالإنجليزية) (https://go.microsoft.com/fwlink/?LinkId=4565). - لمزيد من المعلومات حول استراتيجية التخويل، راجع
تصميم استراتيجية تخويل الموارد (متوفر بالإنجليزية) (https://go.microsoft.com/fwlink/?LinkId=4734).