Käytönvalvonnan yleiskatsaus

Käytönvalvonnan hallinta edellyttää seuraavien asioiden ja niiden välisten suhteiden ymmärtämistä:

• Objektit (tiedostot, tulostimet ja muut resurssit)
  
  
• Käyttöoikeustietueet
  
  
• Käyttöoikeusluettelot ja käyttöoikeusmerkinnät
  
  
• Kohteet (käyttäjät tai sovellukset)
  
  
• Käyttöjärjestelmä
  
  
• Käyttöoikeudet
  
  
• Järjestelmäoikeudet
  
  

Ennen kuin kohde voi saada objektin käyttöoikeuden, käyttöjärjestelmän suojausalijärjestelmän on tunnistettava kohde. Kohteen käyttäjätiedot sisältyvät käyttöoikeustietueeseen, joka luodaan uudelleen aina, kun kohde kirjautuu sisään. Ennen kuin käyttöjärjestelmä sallii kohteen käyttää objektia, se tarkistaa, onko kohteen käyttöoikeustietueella oikeus käyttää kyseistä objektia ja suorittaa valittu tehtävä. Tämä tehdään siten, että käyttöoikeustietueen tietoja verrataan objektin käyttöoikeusmerkintöihin.

Käyttöoikeusmerkinnät voivat sallia tai estää useiden toimintojen suorittamisen objektin tyypin mukaan. Esimerkiksi tiedosto-objektin käyttöoikeusvaihtoehtoja voivat olla luku-, kirjoitus- ja suoritusoikeudet. Käytettävissä olevia tulostimen käyttöoikeusmerkintöjä voivat olla Tulosta, Tulostimien hallinta ja Tiedostojen hallinta.

Objektin yksittäiset käyttöoikeusmerkinnät kootaan käyttöoikeusluetteloon. Suojausalijärjestelmä tarkistaa objektin käyttöoikeusluettelosta käyttöoikeusmerkinnät, jotka koskevat kyseistä käyttäjää ja niitä ryhmiä, joihin käyttäjä kuuluu. Se käy läpi kaikki käyttöoikeusmerkinnät, kunnes löytyy merkintä, joka sallii tai estää käytön käyttäjän tai sellaisen ryhmän osalta, johon käyttäjä kuuluu, tai kunnes tarkistettavia käyttöoikeusmerkintöjä ei enää ole. Jos tarkistus saavuttaa käyttöoikeusluettelon lopun eikä tiettyä käyttöoikeutta ole nimenomaisesti sallittu tai estetty, suojausalijärjestelmä estää kyseisen objektin käytön.

Käyttöoikeudet määrittävät, minkä tyyppinen oikeus käyttäjälle tai ryhmälle on myönnetty objektiin tai objektin ominaisuuteen. Esimerkiksi kirjanpitoryhmälle voidaan myöntää Palkkalista.dat-tiedoston luku- ja kirjoitusoikeudet.

Käytönvalvonnan käyttöliittymän avulla voit asettaa NTFS-käyttöoikeudet objekteille, kuten tiedostoille, Active Directory -objekteille ja rekisteriobjekteille, tai järjestelmäobjekteille, kuten prosesseille. Käyttöoikeudet voi myöntää mille tahansa käyttäjälle, ryhmälle tai tietokoneelle. Hyvä käytäntö on määrittää käyttöoikeudet ryhmille, koska se parantaa järjestelmän suorituskykyä, kun objektin käyttöoikeus vahvistetaan.

Voit myöntää minkä tahansa objektin käyttöoikeudet:

• ryhmille, käyttäjille ja muille objekteille, joiden toimialueella on suojaustunnus
  
  
• kyseisen toimialueen ja kaikkien luotettujen toimialueiden ryhmille ja käyttäjille
  
  
• paikallisille ryhmille ja käyttäjille tietokoneessa, jossa objekti sijaitsee.
  
  

Objektiin liittyvät käyttöoikeudet riippuvat objektin tyypistä. Esimerkiksi tiedostoon voidaan liittää eri käyttöoikeudet kuin rekisteriavaimeen. Jotkin käyttöoikeudet ovat kuitenkin yhteisiä useimmille objektityypeille. Tällaisia yhteisiä käyttöoikeuksia ovat seuraavat:

• Luku
  
  
• Muokkaa
  
  
• Muuta omistajaa
  
  
• Poista
  
  

Käyttöoikeuksia määritettäessä ryhmille ja käyttäjille asetetaan tietty käyttöoikeustaso. Voit esimerkiksi sallia tiedoston lukemisen jollekin käyttäjälle ja tiedoston muuttamisen jollekin toiselle käyttäjälle ja estää kaikkien muiden käyttäjien käyttöoikeuden tiedostoon. Voit määrittää vastaavat käyttöoikeudet tulostimille niin, että tietyt käyttäjät voivat määrittää tulostimen asetuksia ja muut käyttäjät voivat vain tulostaa.

Jos haluat muuttaa jonkin tiedoston käyttöoikeuksia, avaa Resurssienhallinta, napsauta tiedostonimeä hiiren kakkospainikkeella ja valitse Ominaisuudet. Suojaus-välilehdessä voit muuttaa tiedoston käyttöoikeudet. Lisätietoja on ohjeaiheessa Käyttöoikeuksien hallinta.

	Huomautus
	Toisentyyppiset käyttöoikeudet, joita kutsutaan jaetun resurssin käyttöoikeuksiksi, määritetään kansion Ominaisuudet-sivun Jakaminen-välilehdessä tai ohjatun kansioiden jakamisen avulla. Lisätietoja on kohdassa Jaetun resurssin käyttöoikeudet ja NTFS-käyttöoikeudet tiedostopalvelimessa.

Järjestelmäoikeudet antavat käyttäjille ja ryhmille käyttöoikeuksia ja kirjautumisoikeuksia tietokoneympäristössä. Järjestelmänvalvojat voivat määrittää erikoisoikeuksia ryhmätileille tai henkilökohtaisille käyttäjätileille. Nämä oikeudet valtuuttavat käyttäjät suorittamaan erityisiä toimintoja, kuten kirjautumaan järjestelmään vuorovaikutteisesti tai varmuuskopioimaan tiedostoja ja kansioita.

Järjestelmäoikeudet eroavat käyttöoikeuksista siinä, että järjestelmäoikeudet koskevat käyttäjätilejä ja käyttöoikeudet liittyvät objekteihin. Vaikka järjestelmäoikeudet voivat koskea yksittäisiä käyttäjätilejä, järjestelmäoikeuksia kannattaa hallita ryhmätilikohtaisesti. Käytönvalvonnan käyttöliittymässä ei tueta järjestelmäoikeuksien myöntämistä, mutta järjestelmäoikeuksien määrittämistä voidaan kuitenkin hallita Paikallinen suojauskäytäntö -laajennuksen kohdassa Paikalliset käytännöt\Järjestelmäoikeuksien osoitus Lisätietoja on kohdassa Järjestelmäoikeudet.

Järjestelmänvalvojan oikeuksilla voit valvoa, onnistuvatko vai epäonnistuvatko käyttäjät objektien käytössä. Käytönvalvonnan käyttöliittymässä voit valita, mitä objektia haluat valvoa, mutta ennen sitä on otettava käyttöön Valvo objektin käyttöä -valvontakäytäntö. Voit tehdä sen Paikallinen suojauskäytäntö -laajennuksen kohdassa Paikallinen käytäntö\Valvontakäytäntö\Paikalliset käytännöt. Tämän jälkeen voit tarkastella suojausaiheisia tapahtumia Tapahtumienvalvonnan suojauslokista.

Muita aiheita

• Lisätietoja valtuutuksesta ja käytönvalvonnasta on Microsoftin sivuston kohdassa Windows-suojauskokoelma (sivu voi olla englanninkielinen) (https://go.microsoft.com/fwlink/?LinkId=4565).
  
  
• Lisätietoja valtuutusstrategiasta on Microsoftin sivuston kohdassa Resurssien vahvistusstrategian suunnittelu (sivu voi olla englanninkielinen) (https://go.microsoft.com/fwlink/?LinkId=4734).