Kontrola dostępu - omówienie

Aby poznać działanie kontroli dostępu i zarządzać nią, należy poznać związki między następującymi elementami:

• Obiekty (pliki, drukarki i inne zasoby)
  
  
• Tokeny dostępu
  
  
• Listy kontroli dostępu (ACL) i wpisy kontroli dostępu (ACE)
  
  
• Podmioty (użytkownicy lub aplikacje)
  
  
• System operacyjny
  
  
• Uprawnienia
  
  
• Prawa i uprawnienia użytkowników
  
  

Zanim podmiot uzyska dostęp do obiektu, musi zidentyfikować się w podsystemie zabezpieczeń systemu operacyjnego. Informacje o tożsamości są zawarte w tokenie dostępu, który jest tworzony ponownie przy każdym logowaniu podmiotu. Przed zezwoleniem podmiotowi na dostęp do obiektu w systemie operacyjnym następuje sprawdzenie, czy token dostępu tego podmiotu ma autoryzację umożliwiającą uzyskanie dostępu do obiektu i wykonanie żądanego zadania. Jest to wykonywane przez porównanie informacji tokenu dostępu z wpisami kontroli dostępu dla obiektu.

Wpisy kontroli dostępu mogą zezwalać na wykonywanie różnych działań w zależności od typu obiektu lub zabraniać ich. Na przykład dla pliku można określić działania Odczyt, Zapis i Wykonywanie. Dla drukarki są dostępne między innymi wpisy Drukowanie, Zarządzanie drukarkami oraz Zarządzanie dokumentami.

Poszczególne wpisy kontroli dostępu dla obiektu są łączone w listę kontroli dostępu. W podsystemie zabezpieczeń następuje wyszukiwanie w liście kontroli dostępu wpisów dotyczących użytkownika lub grup, do których on należy. Każdy kolejny wpis jest sprawdzany, aż zabraknie wpisów lub zostanie znaleziony taki, który zezwala użytkownikowi lub jednej z jego grup na dostęp bądź zabrania go. Jeśli po zbadaniu całej listy żądany dostęp nie został wyraźnie ani dopuszczony, ani zabroniony, następuje odmowa dostępu do obiektu.

Uprawnienia definiują typ dostępu udzielanego użytkownikom lub grupom do obiektu lub właściwości obiektu. Na przykład grupie Finanse można udzielić uprawnień Odczyt i zapis do pliku wynagrodzenia.dat.

Za pomocą interfejsu użytkownika kontroli dostępu można ustawiać uprawnienia NTFS dla takich obiektów, jak pliki, obiekty usługi Active Directory, obiekty rejestru lub obiekty systemowe, np. procesy. Uprawnień można udzielić dowolnemu użytkownikowi, grupie lub komputerowi. Dobrym rozwiązaniem jest przypisanie uprawnień do grup, co zwiększa wydajność systemu podczas weryfikacji dostępu do obiektu.

Do każdego obiektu można udzielić uprawnień:

• Grupom, użytkownikom i innym obiektom mającym identyfikatory zabezpieczeń w domenie.
  
  
• Grupom i użytkownikom z domeny oraz z innych zaufanych domen.
  
  
• Grupom i użytkownikom lokalnym, utworzonym na komputerze, na którym znajduje się dany obiekt.
  
  

Uprawnienia przyłączone do obiektu zależą od typu obiektu. Na przykład uprawnienia, które można przyłączyć do pliku, różnią się od uprawnień, które można przyłączyć do klucza rejestru. Jednak niektóre uprawnienia są wspólne dla większości typów obiektów. Tymi wspólnymi uprawnieniami są:

• Odczyt
  
  
• Modyfikowanie
  
  
• Zmiana właściciela
  
  
• Usuwanie
  
  

Podczas ustawiania uprawnień określany jest poziom dostępu dla grup i użytkowników. Na przykład jednemu użytkownikowi można pozwolić na odczytywanie zawartości pliku, drugiemu użytkownikowi na wprowadzanie zmian do tego pliku, a wszystkim innym użytkownikom zabronić dostępu do tego pliku. Podobne uprawnienia można ustawiać w odniesieniu do drukarek, tak aby określeni użytkownicy mogli konfigurować drukarkę, a inni mogli tylko na niej drukować.

Aby zmienić uprawnienia do pliku, należy uruchomić Eksploratora Windows, kliknąć prawym przyciskiem myszy nazwę pliku, a następnie kliknąć polecenie Właściwości. Na karcie Zabezpieczenia można zmienić uprawnienia do pliku. Aby uzyskać więcej informacji, zobacz temat Zarządzanie uprawnieniami.

	Uwaga
	Inny rodzaj uprawnień, nazywany uprawnieniami udziału, można ustawić na karcie Udostępnianie na stronie Właściwości folderu lub za pomocą kreatora folderów udostępnionych. Aby uzyskać więcej informacji, zobacz temat Uprawnienia udziału i uprawnienia NTFS na serwerze plików.

Prawa użytkowników udzielają określonych uprawnień i praw logowania użytkownikom i grupom w środowisku komputerowym. Administratorzy mogą przypisywać kontom grup lub kontom poszczególnych użytkowników specjalne prawa. Prawa te upoważniają użytkowników do wykonywania określonych akcji, takich jak interakcyjne logowanie się do systemu czy tworzenie kopii zapasowych plików i katalogów.

Prawa użytkowników różnią się od uprawnień, ponieważ prawa użytkowników dotyczą kont użytkowników, podczas gdy uprawnienia są dołączone do obiektów. Chociaż prawa użytkowników można stosować do poszczególnych kont użytkowników, najlepiej administrować nimi przy użyciu grup. Interfejs użytkownika kontroli dostępu nie obsługuje udzielania praw poszczególnym użytkownikom. Można jednak administrować prawami użytkowników za pomocą przystawki Zasady zabezpieczeń lokalnych dostępnej w obszarze Zasady lokalne\Przypisywanie praw użytkownika. Aby uzyskać więcej informacji, zobacz temat Prawa i uprawnienia użytkowników.

Użytkownik z prawami administratora może przeprowadzać inspekcję zdarzeń związanych z udanym lub nieudanym dostępem do obiektów. Korzystając z interfejsu użytkownika kontroli dostępu, można wybrać obiekty, do których dostęp będzie podlegał inspekcji, ale najpierw należy włączyć zasady inspekcji przez wybranie opcji Przeprowadź inspekcję dostępu do obiektów w obszarze Zasady lokalne\Zasady inspekcji\Zasady lokalne przystawki Zasady zabezpieczeń lokalnych. Umożliwi to wyświetlanie zdarzeń zabezpieczeń w dzienniku zabezpieczeń Podglądu zdarzeń.

Dodatkowe informacje

• Aby uzyskać więcej informacji o autoryzacji i kontroli dostępu, zobacz artykuł dotyczący kolekcji zabezpieczeń systemu Windows (https://go.microsoft.com/fwlink/?LinkId=4565) (strona może zostać wyświetlona w języku angielskim).
  
  
• Aby uzyskać informacje o strategii autoryzacji, zobacz artykuł dotyczący projektowania strategii autoryzacji zasobów (https://go.microsoft.com/fwlink/?LinkId=4734) (strona może zostać wyświetlona w języku angielskim).