Έλεγχος πρόσβασης είναι η διεργασία εξουσιοδότησης χρηστών, ομάδων και υπολογιστών να αποκτούν πρόσβαση σε αντικείμενα στο δίκτυο ή στον υπολογιστή.

Για να κατανοήσετε και να διαχειριστείτε τον έλεγχο πρόσβασης, πρέπει να έχετε κατανοήσει τη σχέση που υπάρχει ανάμεσα στα παρακάτω:

  • Αντικείμενα (αρχεία, εκτυπωτές και άλλους πόρους)

  • Διακριτικά πρόσβασης

  • Λίστες ελέγχου πρόσβασης (ACL) και καταχωρήσεις ελέγχου πρόσβασης (ACE)

  • Υποκείμενα (χρήστες ή εφαρμογές)

  • Το λειτουργικό σύστημα

  • Δικαιώματα

  • Δικαιώματα και προνόμια χρήστη

Για να επιτραπεί σε ένα υποκείμενο η πρόσβαση σε ένα αντικείμενο, το υποκείμενο πρέπει να παράσχει στο υποσύστημα ασφαλείας του λειτουργικού συστήματος στοιχεία για την ταυτότητά του. Αυτή η ταυτότητα περιέχεται σε ένα διακριτικό πρόσβασης το οποίο δημιουργείται εκ νέου κάθε φορά που το υποκείμενο συνδέεται. Πριν επιτραπεί στο υποκείμενο η πρόσβαση σε ένα αντικείμενο, το λειτουργικό σύστημα κάνει έναν έλεγχο για να καθορίσει εάν το διακριτικό πρόσβασης που αντιστοιχεί στο υποκείμενο είναι εξουσιοδοτημένο για πρόσβαση στο αντικείμενο και ολοκλήρωση της επιθυμητής εργασίας. Αυτό γίνεται συγκρίνοντας τις πληροφορίες που υπάρχουν στο διακριτικό πρόσβασης με τις καταχωρήσεις ελέγχου πρόσβασης (ACE) που αντιστοιχούν στο αντικείμενο.

Οι ACE μπορούν να επιτρέψουν ή να απαγορεύσουν έναν αριθμό διαφορετικών συμπεριφορών, ανάλογα με τον τύπο του αντικειμένου. Για παράδειγμα, οι επιλογές σχετικά με ένα αντικείμενο αρχείου μπορεί να περιλαμβάνουν την Ανάγνωση, την Εγγραφή και την Εκτέλεση. Για έναν εκτυπωτή, στις διαθέσιμες ACE περιλαμβάνονται οι Εκτύπωση, Διαχείριση εκτυπωτών και Διαχείριση εγγράφων.

Οι μεμονωμένες ACE για ένα αντικείμενο συνδυάζονται σε μια λίστα ελέγχου πρόσβασης (ACL). Το υποσύστημα ασφαλείας ελέγχει την ACL του αντικειμένου αναζητώντας ACE που ισχύουν για το χρήστη και τις ομάδες στις οποίες αυτός ανήκει. Ελέγχει διαδοχικά κάθε ACE μέχρις ότου εντοπίσει κάποια που είτε επιτρέπει ή απαγορεύει την πρόσβαση στο χρήστη ή σε μία από τις ομάδες του χρήστη, είτε μέχρις ότου δεν υπάρχουν άλλες ACE για έλεγχο. Εάν φτάσει στο τέλος της ACL και δεν βρει κάποια εγγραφή που θα απαγορεύει ή θα επιτρέπει ρητά το επιθυμητό είδος πρόσβασης, το υποσύστημα ασφαλείας αρνείται την πρόσβαση στο αντικείμενο.

Δικαιώματα

Τα δικαιώματα καθορίζουν τον τύπο πρόσβασης που εκχωρείται σε κάποιο χρήστη ή ομάδα για κάποιο αντικείμενο ή ιδιότητα αντικειμένου. Για παράδειγμα, στην ομάδα "Οικονομικό τμήμα" μπορούν να εκχωρηθούν δικαιώματα ανάγνωσης και εγγραφής για το αρχείο Payroll.dat.

Χρησιμοποιώντας το περιβάλλον εργασίας χρήστη για τον έλεγχο πρόσβασης, μπορείτε να ορίσετε δικαιώματα NTFS για αντικείμενα όπως αρχεία, αντικείμενα υπηρεσίας καταλόγου Active Directory, αντικείμενα μητρώου ή για αντικείμενα συστήματος, όπως διεργασίες. Δικαιώματα μπορούν να εκχωρηθούν οποιονδήποτε χρήστη, ομάδα ή υπολογιστή. Συνιστάται να αντιστοιχίζετε δικαιώματα σε ομάδες, καθώς έτσι βελτιώνεται η απόδοση του συστήματος κατά την επαλήθευση της πρόσβασης σε κάποιο αντικείμενο.

Για κάθε αντικείμενο μπορείτε να εκχωρείτε δικαιώματα σε:

  • Ομάδες, χρήστες και άλλα αντικείμενα με αναγνωριστικά ασφαλείας στον τομέα.

  • Ομάδες και χρήστες στον τομέα και σε αξιόπιστους τομείς.

  • Τοπικές ομάδες και χρήστες στον υπολογιστή όπου βρίσκεται το αντικείμενο.

Τα δικαιώματα που προσαρτώνται σε κάποιο αντικείμενο εξαρτώνται από τον τύπο του αντικειμένου. Για παράδειγμα, τα δικαιώματα που μπορούν να προσαρτηθούν σε αρχείο διαφέρουν από εκείνα που μπορούν να προσαρτηθούν σε κλειδί μητρώου. Ωστόσο, ορισμένα δικαιώματα είναι κοινά για τους περισσότερους τύπους αντικειμένων. Τα κοινά αυτά δικαιώματα είναι:

  • Ανάγνωση

  • Τροποποίηση

  • Αλλαγή κατόχου

  • Διαγραφή

Όταν ορίζετε δικαιώματα, καθορίζετε το επίπεδο πρόσβασης για ομάδες και χρήστες. Για παράδειγμα, μπορείτε να επιτρέψετε σε κάποιον χρήστη να διαβάζει τα περιεχόμενα ενός αρχείου, σε κάποιον άλλον να πραγματοποιεί αλλαγές στο αρχείο, και να μην επιτρέπετε σε όλους τους υπόλοιπους χρήστες να αποκτούν πρόσβαση στο αρχείο. Μπορείτε να ορίζετε παρόμοια δικαιώματα για εκτυπωτές ώστε συγκεκριμένοι χρήστες να είναι σε θέση να ρυθμίζουν τις παραμέτρους του εκτυπωτή ενώ άλλοι να μπορούν απλά να εκτυπώνουν.

Όταν πρέπει να αλλάξετε τα δικαιώματα για κάποιο αρχείο, μπορείτε να εκτελέσετε την Εξερεύνηση των Windows, να κάνετε δεξιό κλικ στο όνομα αρχείου και, στη συνέχεια, να κάνετε κλικ στην επιλογή Ιδιότητες. Στην καρτέλα Ασφάλεια μπορείτε να αλλάξετε τα δικαιώματα για το αρχείο. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Διαχείριση δικαιωμάτων.

Σημείωση

Ένα άλλο είδος δικαιωμάτων, που ονομάζονται "δικαιώματα κοινής χρήσης", ορίζεται στην καρτέλα Κοινή χρήση της σελίδας Ιδιότητες ενός φακέλου ή χρησιμοποιώντας τον Οδηγό κοινόχρηστου φακέλου. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Δικαιώματα κοινής χρήσης και NTFS για διακομιστή αρχείων.

Κυριότητα αντικειμένων

Κατά τη δημιουργία του, ένα αντικείμενο αντιστοιχίζεται σε κάποιον κάτοχο. Από προεπιλογή, ο κάτοχος είναι ο δημιουργός του αντικειμένου. Ανεξαρτήτως των δικαιωμάτων που έχουν οριστεί για κάποιο αντικείμενο, ο κάτοχός του μπορεί πάντα να αλλάζει τα δικαιώματα για το αντικείμενο. Για περισσότερες πληροφορίες, δείτε το θέμα Διαχείριση της κυριότητας αντικειμένων.

Μεταβίβαση δικαιωμάτων

Η μεταβίβαση επιτρέπει στους διαχειριστές να αντιστοιχίζουν και να διαχειρίζονται εύκολα δικαιώματα. Με αυτή τη δυνατότητα, όλα τα μεταβιβάσιμα δικαιώματα ενός κοντέινερ μεταβιβάζονται αυτόματα στα αντικείμενα που βρίσκονται στο συγκεκριμένο κοντέινερ. Για παράδειγμα, τα δικαιώματα ενός φακέλου μεταβιβάζονται στα αρχεία ενός φακέλου κατά τη δημιουργία τους. Θα μεταβιβαστούν μόνο τα δικαιώματα που σημειώνονται ως μεταβιβάσιμα.

Δικαιώματα και προνόμια χρήστη

Τα δικαιώματα χρήστη παρέχουν συγκεκριμένα προνόμια και δικαιώματα σύνδεσης σε χρήστες και ομάδες στο περιβάλλον υπολογιστών σας. Οι διαχειριστές μπορούν να αντιστοιχίζουν συγκεκριμένα δικαιώματα σε λογαριασμούς ομάδων ή σε λογαριασμούς μεμονωμένων χρηστών. Τα δικαιώματα αυτά εξουσιοδοτούν τους χρήστες να πραγματοποιούν συγκεκριμένες ενέργειες, όπως είναι η αλληλεπιδραστική σύνδεση σε κάποιο σύστημα ή η δημιουργία αντιγράφων ασφαλείας αρχείων και καταλόγων.

Τα δικαιώματα χρήστη διαφέρουν από τα δικαιώματα γιατί τα πρώτα ισχύουν για λογαριασμούς χρηστών ενώ τα δικαιώματα προσαρτώνται σε αντικείμενα. Παρότι τα δικαιώματα χρήστη μπορούν να ισχύσουν για λογαριασμούς μεμονωμένων χρηστών, η διαχείρισή τους είναι καλύτερη σε λογαριασμούς ομάδων. Το περιβάλλον εργασίας χρήστη ελέγχου πρόσβασης δεν υποστηρίζει την εκχώρηση δικαιωμάτων χρήστη. Ωστόσο, η διαχείριση της αντιστοίχισής τους μπορεί να γίνεται μέσω του συμπληρωματικού προγράμματος "Τοπική πολιτική ασφαλείας", από την περιοχή Τοπικές πολιτικές\Εκχώρηση δικαιωμάτων χρήστη. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Δικαιώματα και προνόμια χρήστη.

Έλεγχος αντικειμένων

Αν διαθέτετε δικαιώματα διαχειριστή, μπορείτε να ελέγχετε την επιτυχημένη ή αποτυχημένη πρόσβαση των χρηστών σε αντικείμενα. Μπορείτε να επιλέξετε την πρόσβαση σε αντικείμενα που θα ελέγξετε χρησιμοποιώντας το περιβάλλον εργασίας χρήστη ελέγχου πρόσβασης, αλλά πρώτα πρέπει να ενεργοποιήσετε την πολιτική ελέγχου με την επιλογή Έλεγχος πρόσβασης αντικειμένων από την περιοχή Τοπική πολιτική\Πολιτική ελέγχου\Τοπικές πολιτικές στο συμπληρωματικό πρόγραμμα "Τοπική πολιτική ασφαλείας". Στη συνέχεια, μπορείτε να δείτε αυτά συμβάντα που σχετίζονται με την ασφάλεια στο αρχείο καταγραφής ασφάλειας από την Προβολή Συμβάντων.

Πρόσθετες αναφορές


Πίνακας περιεχομένων