存取控制是指授權使用者、群組及電腦存取網路或電腦上物件的程序。

若要了解及管理存取控制,您必須先了解其間的關係:

  • 物件 (檔案、印表機、及其他資源)

  • 存取權杖

  • 存取控制清單 (ACL) 及存取控制項目 (ACE)

  • 主體 (使用者或應用程式)

  • 作業系統

  • 權限

  • 使用者權限及權限

在主體取得物件的存取權之前,主體必須向作業系統的安全性子系統表明自己的身分。此身分識別包含在每次主體登入時重新建立的存取權杖之中。在允許主體存取物件之前,作業系統會檢查主體的存取權杖,以判斷該主體是否有存取物件及完成所需工作的授權。其檢查方法是比較該物件存取權杖與存取控制項目 (ACE) 中的資訊。

視物件類型而定,ACE 可以允許或拒絕多種不同的行為。例如,檔案物件的選項可以包括 [讀取]、[寫入] 及 [執行]。對印表機而言,可用的 ACE 則包括 [列印]、[管理印表機] 及 [管理文件]。

物件的個別 ACE 會在存取控制清單 (ACL) 中結合。安全性子系統會檢查套用到使用者及使用者所屬群組之 ACE 的物件 ACL。它會逐步檢查每個 ACE,直到發現一個允許或拒絕使用者或使用者群組之一的 ACE,或直到沒有其他 ACE 可以檢查為止。如果已到達 ACL 結尾且仍未明確允許或拒絕所需的存取,則安全性子系統會拒絕對該物件的存取。

權限

權限會定義授與物件或物件內容之使用者或群組的存取類型。例如,您可以將 Payroll.dat 檔案的讀取及寫入權限授與給 Finance 群組。

您可以使用存取控制使用者介面來為物件 (例如檔案、Active Directory 物件、登錄物件) 或系統物件 (例如處理程序) 設定 NTFS 權限。權限可以授與給任何使用者、群組或電腦。將權限指派給群組是一個很好的作法,因為這可以增進系統驗證物件存取時的效能。

對任何物件,您可以授與權限給:

  • 網域中的群組、使用者及其他具有安全性識別碼的物件。

  • 此網域及任何受信任網域中的群組及使用者。

  • 存放物件之電腦上的本機群組及使用者。

件的權限須視物件的類型而定。例如,檔案的權限便與登錄機碼值的權限不同。但某些權限則是各類型物件公用的權限。這些公用的權限是:

  • 讀取

  • 修改

  • 變更擁有者

  • 刪除

在設定權限時,必須指定群組及使用者的存取權層級。例如,可以讓一位使用者讀取檔案的內容,讓另一位使用者變更該檔案,並讓其他使用者無法存取該檔案。您可以對印表機設定類似的權限,讓某些使用者得以設定印表機,而某些使用者則只能進行列印。

例如,若要變更檔案的權限,您可以執行 [Windows 檔案總管],在該檔案名稱上按一下滑鼠右鍵,再按一下 [內容]。您可以在 [安全性] 索引標籤上,變更檔案的權限。如需相關資訊,請參閱管理權限

附註

另一種權限稱為共用權限,可在資料夾 [內容] 頁面的 [共用] 索引標籤或使用「共用資料夾」精靈設定。如需相關資訊,請參閱檔案伺服器的共用及 NTSF 權限

物件擁有權

在物件建立時便會指派物件的擁有者。預設的擁有者是物件的建立者。無論為物件設定了哪種權限,此物件的擁有者始終可以變更它的權限。如需相關資訊,請參閱管理物件擁有權

權限的繼承

繼承可讓系統管理員輕鬆地指派及管理權限。這個功能會自動讓容器內的物件繼承該容器所有可繼承的權限。例如,在資料夾內建立檔案時,所建立的檔案便會繼承該資料夾的權限。只會繼承有標示為要繼承的權限。

使用者權限及權限

使用者權限會將特定的權限和登入權利,授與給在計算環境中的使用者及群組。系統管理員可以將特定的權利指派給群組帳戶或個別的使用者帳戶。獲得授權的使用者可以執行特定的動作,例如互動式登入系統或備份檔案及目錄。

使用者權限與權限的最大不同,在於使用者權限是套用在使用者帳戶上,而權限則是連接到物件上。雖然使用者權限可以套用到個別的使用者帳戶上,但最好還是以群組帳戶的方式加以管理。存取控制使用者介面不支援授與使用者權限,但可透過 [本機原則/使用者權限指派] 下的「本機安全性原則」嵌入式管理單元來管理使用者權限指派。如需詳細資訊,請參閱使用者權限及權限

物件稽核

有了系統管理員的權限,您可以稽核使用者存取物件的成功與否。您可以使用存取控制使用者介面來選取要稽核的物件存取,但必須先選取 [本機安全性原則] 嵌入式管理單元中,[本機原則\稽核原則\本機原則] 下的 [稽核物件存取],以啟用 [稽核原則],之後才可以在 [事件檢視器] 的「安全性記錄檔」中檢視這些安全性相關事件。

其他參考資料

目錄