Přehled Řízení přístupu

Chcete-li rozumět řízení přístupu a umět ho spravovat, měli byste pochopit vztahy mezi těmito prvky:

• Objekty (soubory, tiskárny a další prostředky)
  
  
• Přístupové tokeny
  
  
• Seznamy řízení přístupu (ACL) a položky řízení přístupu (ACE)
  
  
• Subjekty (uživatelé a aplikace)
  
  
• Operační systém
  
  
• Oprávnění
  
  
• Uživatelská práva a oprávnění
  
  

Dříve než subjekt může získat přístup k objektu, musí se identifikovat v subsystému zabezpečení operačního systému. Tato identita je obsažena v přístupovém tokenu, který se znovu vytvoří při každém přihlášení subjektu. Dříve než operační systém povolí subjektu přístup k objektu, zjistí, zda je přístupový token subjektu oprávněn přistupovat k objektu a provést požadovanou úlohu. Zjistí to porovnáním informací v přístupovém tokenu s položkami řízení přístupu (ACE) daného objektu.

Položky řízení přístupu mohou v závislosti na typu objektu povolit nebo odepřít mnoho různých chování. Například položky řízení přístupu u objektu typu soubor jsou: Číst, Zapisovat a Spouštět. U tiskárny jsou k dispozici například tyto položky řízení přístupu: Tisknout, Spravovat tiskárny a Spravovat dokumenty.

Jednotlivé položky řízení přístupu (ACE) pro objekt se sdružují do seznamu řízení přístupu (ACL). Subsystém zabezpečení zjišťuje v seznamu řízení přístupu daného objektu položky řízení přístupu, které platí pro uživatele a pro skupiny, do nichž uživatel patří. Prochází jednotlivými položkami řízení přístupu, dokud nenajde takovou, která povoluje nebo zakazuje přístup uživateli či některé z jeho skupin, nebo dokud takto nezpracuje všechny položky řízení přístupu. Pokud subsystém zabezpečení dorazí na konec seznamu řízení přístupu, a požadovaný přístup přesto není explicitně povolen nebo odepřen, subsystém přístup k objektu zakáže.

Oprávnění určují typ přístupu k danému objektu nebo vlastnosti objektu, který je udělen určitým uživatelům nebo skupinám. Například skupině Finance může k souboru Výplaty.dat být uděleno oprávnění Číst a Zapisovat.

Pomocí uživatelského rozhraní funkce Řízení přístupu můžete přiřadit oprávnění systému NTFS objektům, jakými jsou např. soubory, objekty služby Active Directory, objekty registru a systémové objekty, kterými mohou být například procesy. Oprávnění mohou být přiřazena každému uživateli, skupině, nebo počítači. Přiřazovat oprávnění skupinám se doporučuje z důvodu zlepšeného výkonu systému při ověřování možnosti přístupu k objektu.

Pro jakýkoli objekt můžete přiřadit oprávnění:

• Skupinám uživatelů, uživatelům, a dalším objektům v rámci domény, které mají identifikátor zabezpečení (SID).
  
  
• skupinám a uživatelům v aktuální doméně nebo v kterýchkoli důvěryhodných doménách,
  
  
• skupinám a uživatelům místního počítače, v němž je objekt umístěn.
  
  

Oprávnění, která lze přiřadit určitému objektu, jsou určena typem objektu. Oprávnění, která lze přiřadit souboru, se liší od oprávnění, která lze přiřadit klíči registru. Avšak některá oprávnění jsou společná pro většinu typů objektů. Společná oprávnění jsou:

• Číst
  
  
• Měnit
  
  
• Změnit vlastníka
  
  
• Odstranit
  
  

Můžete také jednotlivým skupiným a jejich uživatelům přiřadit rozdílnou úroveň přístupu: Můžete například jednomu uživateli umožnit čtení obsahu souboru, jinému uživateli umožnit provádět změny v souboru a ostatním uživatelům zabránit v přístupu k tomuto souboru. Obdobně můžete přiřadit oprávnění k tisku - zatímco někteří uživatelé mohou mít možnost tiskárnu nastavovat, jiný mohou mít pouze možnost tisknout.

Když potřebujete změnit oprávnění k určitému souboru, spusťte program Průzkumník Windows a pravým tlačítkem klikněte na možnost Vlastnosti. Oprávnění k souboru můžete měnit na kartě Zabezpečení. Další informace naleznete v tématu Správa oprávnění.

	Poznámka
	Dalším druhem oprávnění jsou oprávnění k přístupu ke sdílené položce. Ta se nastavují na kartě Sdílení na stránce Vlastnosti příslušné složky nebo pomocí Průvodce sdílenou složkou. Další informace naleznete v tématu Oprávnění k přístupu ke sdílené položce a oprávnění pro systém NTFS na souborovém serveru.

Uživatelská práva představují specifická oprávnění a přihlašovací práva pro uživatele a skupiny v počítačovém prostředí. Specifická práva mohou správci přiřadit i skupinovým nebo jednotlivým účtům. Tato práva opravňují jejich nositele k vykonávání specifických činnosti, kterými mohou být interaktivní přihlášení nebo zálohování souborů a adresářů.

Uživatelská práva se od oprávění liší v tom, že zatímco uživatelská práva se váží k určitému uživatelskému účtu, oprávnění jsou vázána k určitému objektu. I když lze uživatelská práva použít pouze v rámci jednotlivého uživatelského účtu, doporučuje se uživatelská práva spravovat pomocí účtu skupiny. Uživatelské rozhraní funkce Řízení přístupu neumožňuje udělovat uživatelská práva. Uživatelská práva mohou být nicméně spravována pomocí modulu snap-in Místní zásady zabezpečení v části Místní zásady \ Přiřazení uživatelských práv. Další informace naleznete v tématu Uživatelská práva a oprávnění.

Pokud máte práva správce, můžete provést audit úspěšných a neúspěšných uživatelských přístupů k objektům. Volbu přístupu k objektu, na kterém chcete provést audit, provedete pomocí uživatelského rozhraní funkce Řízení přístupu. Nejdříve však musíte povolit zásady auditu. Provedete to tak, že v modulu snap-in Místní zásady zabezpečení v části Místní zásady\Zásady auditu\Místní zásady vyberete možnost Auditovat přístup k objektům. Potom si můžete pomocí Prohlížeče událostí prohlížet v protokolu zabezpečení události související se zabezpečením.

Další odkazy

• Další informace o autorizaci a řízení přístupu naleznete v tématu Kolekce zabezpečení systému Windows (stránka může být v angličtině) (https://go.microsoft.com/fwlink/?LinkId=4565).
  
  
• Informace o strategii autorizace naleznete v tématu Návrh strategie pro autorizaci prostředků (stránka může být v angličtině) (https://go.microsoft.com/fwlink/?LinkId=4734).