A hozzáférés-szabályozás a hálózaton vagy a számítógépen található objektumok elérésének engedélyezése a megfelelő felhasználók, csoportok és számítógépek számára.
A hozzáférés-vezérlés megismeréséhez és kezeléséhez a következő fogalmakat és azok összefüggéseit kell megértenie:
- Objektumok (fájlok, nyomtatók és más erőforrások)
- Hozzáférési jogkivonatok
- A hozzáférés-szabályozási lista (ACL) és a hozzáférés-vezérlő bejegyzések (ACE)
- Alanyok (felhasználók vagy alkalmazások)
- Az operációs rendszer
- Engedélyek
- Felhasználói jogok és jogosultságok
Ahoz, hogy egy alany hozzáférhessen egy objektumhoz, előbb azonosítania kell magát az operációs rendszer biztonsági alrendszere számára. Ezt az identitást egy hozzáférési jogkivonat tartalmazza, amely az alany minden bejelentkezésekor újra létrejön. Mielőtt az alany számára engedélyezné a hozzáférést egy objektumhoz, az operációs rendszer ellenőrzi, hogy az alany hozzáférési jogkivonata alapján jogosult-e az adott objektum elérésére, és csak ezután hajtja végre a kívánt műveletet. A rendszer ezt az eljárást a hozzáférési jogkivonat adatai és az adott objektumra vonatkozó hozzáférés-vezérlő bejegyzések (ACE) összevetésével végzi el.
A hozzáférés-vezérlő bejegyzések (ACE) az objektum típusától függően számos műveletet engedélyezhetnek vagy tagadhatnak meg. Ilyenek lehetnek például egy fájlobjektum beállításai közül az Olvasás, az Írás és a Végrehajtás. A nyomtatók hozzáférés-vezérlő bejegyzései a Nyomtatás, a Nyomtatókezelés és a Dokumentumok kezelése lehetőségeket tartalmazzák.
Egy adott objektum egyéni hozzáférés-vezérlő bejegyzései egy adott hozzáférés-vezérlési listában (ACL) vannak összegyűjtve. A biztonsági alrendszer ellenőrzi az objektum hozzáférés-vezérlési listáját a felhasználóra és csoportjára vonatkozó hozzáférés-vezérlő bejegyzések esetén. A rendszer lépésről-lépésre egyenként ellenőriz minden egyes hozzáférés-vezérlő bejegyzést addig, amíg nem talál a felhasználó vagy valamelyik csoportja számára a hozzáférést engedélyező vagy azt megtagadó bejegyzést, vagy amíg el nem fogynak a bejegyzések. Ha a biztonsági alrendszer úgy ér a hozzáférés-vezérlési lista végére, hogy a kívánt hozzáférés engedélyezése vagy megtagadása egyértelműen nem dönthető el, az objektumhoz való hozzáférést megtagadja.
Engedélyek
Az engedélyek meghatározzák, hogy az adott felhasználó vagy csoport milyen típusú hozzáféréssel rendelkezik az adott objektumhoz vagy objektumtulajdonsághoz. A Pénzügy nevű csoportnak például írási és olvasási engedélyt lehet adni a fizetes.dat nevű fájlhoz.
A hozzáférés-vezérlés felhasználói felületének segítségével beállíthatja fájlok, Active Directory-objektumok, beállításjegyzék-objektumok vagy rendszerobjektumok, például folyamatok NTFS-engedélyeit. Engedélyeket bármely felhasználóhoz, csoporthoz vagy számítógéphez rendelhet. Bevált gyakorlat engedélyeket csoportokhoz rendelni, mivel így az objektumok hozzáféréseinek ellenőrzésével javítható a rendszerteljesítmény.
Engedélyeket biztosíthat bármely objektumhoz a következők számára:
-
tartomány csoportjaihoz, felhasználóihoz és biztonsági azonosítóihoz,
-
a tartományban lévő csoportokhoz és felhasználókhoz, valamint megbízható tartományokhoz,
-
azon számítógép helyi csoportjaihoz és felhasználóihoz, amelyen az objektum található.
Az objektumhoz társított engedélyeket az objektum típusa szabja meg. A fájlokhoz társítható engedélyek például különböznek a beállításkulcsokhoz társítható engedélyektől. Egyes engedélyek azonban a legtöbb objektumhoz hozzárendelhetők. Ezek a következők:
-
Olvasás
-
Módosítás
-
Új tulajdonos engedély
-
Törlés
Az engedélyek beállításával a csoportok és a felhasználók hozzáférési szintje adható meg. Például beállítható, hogy az egyik felhasználó olvashassa a fájl tartalmát, egy másik felhasználó módosíthassa a fájlt, míg az összes többi felhasználó ne érhesse el a fájlt. Hasonló engedélyek állíthatók be a nyomtatókra is, így egyes felhasználók konfigurálhatják a nyomtatót, míg mások csak nyomtathatnak.
Ha fájlok engedélyeinek megváltoztatására van szüksége, indítsa el a Windows Intéző alkalmazást, kattintson a jobb gombbal a fájlnévre, majd kattintson a Tulajdonságok parancsra. A Biztonság lapon állíthatja be a fájlra vonatkozó engedélyeket. További információt az Engedélyek kezelése című témakörben talál.
 | Megjegyzés |
|
Egy másik típusú engedély, az úgynevezett megosztási engedély beállítása a mappa Tulajdonságok lapjának Megosztás fülén vagy a Megosztott mappa létrehozása varázslóval végezhető el. További információt A fájlkiszolgálók megosztási és NTFS-engedélyei című témakörben talál. |
Objektumok tulajdonjoga
Objektum létrehozásakor egy tulajdonos rendelődik az objektumhoz. Alapértelmezés szerint a tulajdonos az objektum létrehozója. A tulajdonosa bármikor megváltoztathatja az objektumhoz rendelt engedélyeket. További információt az Objektumok tulajdonjogának kezelése című témakörben talál.
Engedélyek öröklődése
Az öröklődés lehetővé teszi a rendszergazdáknak az engedélyek egyszerű hozzárendelését és kezelését. Ezzel a szolgáltatással a tárolóban lévő objektumok automatikusan öröklik a tároló örökölhető engedélyeit. Ha például egy mappában fájlokat hoz létre, azok öröklik a mappa engedélyeit. Csak az öröklésre kijelölt engedélyek fognak öröklődni.
Felhasználói jogok és jogosultságok
A felhasználói jogok a számítógépes környezet felhasználói és csoportjai számára biztosítanak bizonyos bejelentkezési és egyéb engedélyeket. A rendszergazdák meghatározott engedélyeket adhatnak csoportfiókoknak vagy egyéni felhasználói fiókoknak. Az engedélyek birtokában a felhasználók végrehajthatnak bizonyos műveleteket, például interaktív módon bejelentkezhetnek egy adott rendszerbe vagy biztonsági másolatot készíthetnek fájlokról és könyvtárakról.
A felhasználói engedélyek abban különböznek az engedélyektől, hogy míg a felhasználói engedélyek felhasználói fiókokra vonatkoznak, az engedélyek objektumokhoz kötődnek. Habár a felhasználói engedélyek adott felhasználói fiókokra is vonatkozhatnak, felügyeletük csoportfiókokon alapulva valósítható meg legcélszerűbben. A hozzáférés-vezérlés felhasználói felülete nem támogatja a felhasználói jogok megadását, azonban a felhasználói jogok hozzárendelése a Helyi biztonsági házirend beépülő modul Helyi házirendek\Felhasználói jogok beállítása révén felügyelhető. További információt a Felhasználói jogok és jogosultságok című témakörben talál.
Objektumnaplózás
Rendszergazdai jogosultsággal naplózhatja a felhasználók sikeres vagy sikertelen hozzáféréseit az objektumokhoz. A hozzáférés-vezérlés felhasználói felületének segítségével kiválaszthatja, hogy mely objektumok hozzáférései legyenek naplózva, de ehhez engedélyeznie kell a naplórendet a Helyi biztonsági házirend beépülő modul Helyi házirend\Naplórend\Helyi házirendek alatt található Objektum-hozzáférés naplózása lehetőség kijelölésével. Ezután az Eseménynapló biztonsági naplójában megtekintheti ezeket a biztonságot érintő eseményeket.
További hivatkozások
- További információt az engedélyezéssel és a hozzáférés-vezérléssel kapcsolatban a
Windows rendszerbiztonsági gyűjtemény (előfordulhat, hogy a lap angol nyelven jelenik meg) című témakörben talál (https://go.microsoft.com/fwlink/?LinkId=4565). - A megbízhatósági kapcsolatokról további információt az
Erőforrás-engedélyezési stratégia tervezése (előfordulhat, hogy a lap angol nyelven jelenik meg) című témakörben talál (https://go.microsoft.com/fwlink/?LinkId=4734).