访问控制是授权用户、组和计算机来访问网络或计算机上的对象的过程。

若要了解和管理访问控制,需要了解下列几项之间的关系:

  • 对象(文件、打印机和其他资源)

  • 访问令牌

  • 访问控制列表 (ACL) 和访问控制项 (ACE)

  • 使用者(用户或应用程序)

  • 操作系统

  • 权限

  • 用户权限和特权

使用者必须先将自身标识为操作系统的安全子系统,然后才能获得对象的访问权限。该身份包含在使用者每次登录时重新创建的访问令牌中。在允许使用者访问对象之前,操作系统将进行检查以确定该使用者的访问令牌是否获得访问对象并完成所需任务的授权。其做法是将访问令牌中的信息与对象的访问控制项 (ACE) 进行比较。

ACE 可以允许或拒绝许多不同的行为,具体取决于对象的类型。例如,文件对象可以使用的选项包括读取、写入和执行。而对于打印机,可用的 ACE 包括打印、管理打印机和管理文档。

对象的各个 ACE 组合在访问控制列表 (ACL) 中。安全子系统将检查对象的 ACL 是否存在适用于用户以及用户所属组的 ACE。它会逐一检查每个 ACE,直到找到允许或拒绝用户或用户组中的某个用户访问的 ACE,或者直到检查完 ACE 为止。如果到达 ACL 结尾时仍未找到明确允许或拒绝所需访问的项目,则安全子系统将拒绝访问对象。

权限

权限定义了授予用户或组对某个对象或对象属性的访问类型。例如,Finance 组可以被授予对名为 Payroll.dat 文件的“读取”和“写入”权限。

使用访问控制用户界面,可以设置文件、Active Directory 对象、注册表对象或诸如进程之类的系统对象等的 NTFS 权限。权限可以授予任何用户、组或计算机。将权限分配给组非常有用,因为它可以在验证对象访问时改进系统性能。

对于任何对象,都可以向下列内容授予权限:

  • 组、用户以及域中包含安全标识符的其他对象。

  • 该域或任何受信任域中的组和用户。

  • 对象所在的计算机上的本地组和用户。

附加在对象上的权限取决于对象的类型。例如,附加给文件的权限与附加给注册表项的权限不同。但是,某些权限对于大多数类型的对象都是公用的。这些公用权限有:

  • 读取

  • 修改

  • 更改所有者

  • 删除

设置权限时,可以指定组和用户的访问级别。例如,您可以允许一个用户读取文件的内容,允许另一个用户修改该文件,同时防止所有其他用户访问该文件。可以在打印机上设置相似的权限,这样某些用户便可以配置打印机而其他用户仅能使用打印机进行打印。

当您需要更改文件的权限时,可以运行“Windows 资源管理器”,右键单击文件名,单击“属性”。在“安全”选项卡上,可以更改文件的权限。有关详细信息,请参阅管理权限

注意

另一种权限称为共享权限,可通过文件夹的“属性”页的“共享”选项卡或使用共享文件夹向导进行设置。有关详细信息,请参阅文件服务器上的共享权限和 NTFS 权限

对象的所有权

对象在创建时,即有一个所有者指派给该对象。所有者被默认为对象的创建者。不管为对象设置什么权限,对象的所有者总是可以更改对象的权限。有关详细信息,请参阅管理对象所有权

权限的继承

继承使得管理员易于指派和管理权限。该功能自动使容器中的对象继承该容器的所有可继承权限。例如,文件夹中的文件,一经创建就继承了文件夹的权限。只继承标记为要继承的权限。

用户权限和特权

用户权限授予计算环境中的用户和组特定的特权和登录权限。管理员可以向组帐户或单个用户帐户分配特定权限。这些权限授权用户执行特定操作,如交互登录到系统或备份文件和目录。

用户权利与权限不同,因为用户权利应用于用户帐户,而权限附加到对象。虽然用户权利可以应用于单个用户帐户,但用户权利最好在组帐户基础上进行管理。访问控制用户界面中不支持授予用户权利;但可以通过“本地策略\用户权限分配”下的“本地安全策略”管理单元来管理用户权利分配。有关详细信息,请参阅用户权限和特权

对象审核

拥有管理员权限后,可以审核用户对对象的访问是成功还是失败。您可以使用访问控制用户界面来选择要审核的对象访问,但必须先通过选择“本地安全策略”管理单元中“本地策略\审核策略\本地策略”下的“审核对象访问”来启用审核策略。然后可以在事件查看器的安全日志中查看这些与安全相关的事件。

其他参考