Med adgangskontrol godkendes brugere, grupper og computere, så de har adgang til objekter på netværket eller computeren.
Hvis du vil forstå og administrere adgangskontrol, skal du forstå forholdet mellem følgende elementer:
- Objekter (filer, printere og andre ressourcer)
- Adgangstokens
- Adgangskontrollister (Access Control Lists – ACL'er) og adgangskontrolposter (Access Control Entries – ACE'er)
- Emner (brugere eller programmer)
- Operativsystemet
- Tilladelser
- Brugerrettigheder
Før et emne kan få adgang til et objektet, skal emnet identificere sig selv over for operativsystemets sikkerhedsundersystem. Denne identitet findes i et adgangstoken, der oprettes igen, hver gang et emne logger på. Før emnet får adgang til et objekt, kontrolleres det, om emnets adgangstoken er godkendt til at få adgang til objektet og udføre den ønskede opgave. Det sker ved, at oplysninger i adgangstokenet sammenlignes med ACE'erne for objektet.
ACE'er kan tillade eller afvise en række forskellige funktionsmåder, afhængigt af objekttypen. Indstillinger for et filobjekt kan f.eks. omfatte Læsning, Skrivning og Kørsel. På en printer omfatter de tilgængelige adgangskontrolposter Udskrivning, Administration af printere og Administration af dokumenter.
De enkelte ACE'er for et objekt er sammensat til en ACL. I sikkerhedsundersystemet kontrolleres det, om der i objektets ACL findes ACE'er, der gælder for brugeren og de grupper, brugeren tilhører. Hver ACE gennemgås, indtil der findes en, der tillader eller nægter brugeren eller en af brugerens grupper at få adgang, eller indtil der ikke er flere ACE'er at kontrollere. Hvis slutningen af ACL'en nås, og den ønskede adgang stadig ikke er eksplicit tilladt eller nægtet, nægter sikkerhedssystemet adgang til objektet.
Tilladelser
Tilladelser definerer den type adgang, en bruger eller gruppe tildeles til et objekt eller en objektegenskab. Økonomigruppen kan f.eks. tildeles tilladelserne Læsning og skrivning til en fil, der kaldes Løn.dat.
Ved hjælp af brugergrænsefladen til adgangskontrol kan du angive NTFS-tilladelser for objekter, f.eks. filer, Active Directory-objekter, objekter i registreringsdatabasen eller systemobjekter som processer. Du kan tildele tilladelser til alle brugere, grupper og computere. Det er en god ide at tildele grupper tilladelser, fordi det forbedrer systemets ydeevne, når der skal gives adgang til et objekt.
Ved alle objekter kan du tildele tilladelser til:
-
Grupper, brugere og andre objekter med sikkerhed-id'er i domænet.
-
Grupper og brugere i det pågældende domæne og tillidsdomæner.
-
Lokale grupper og brugere på den computer, hvor objektet findes.
Hvilke tilladelser der er tilknyttet et objekt, afhænger af objektets type. De tilladelser, der kan knyttes til en fil, er f.eks. anderledes end de tilladelser, der kan knyttes til en registreringsdatabasenøgle. Nogle tilladelser er dog fælles for de fleste objekttyper. Der er følgende fælles tilladelser:
-
Læsning
-
Redigering
-
Ændring af ejer
-
Sletning
Når du opretter tilladelser, angiver du adgangsniveauet for grupper og brugere. Du kan f.eks. lade en bruger læse indholdet af en fil, lade en anden bruger foretage ændringer i filen og forhindre alle andre brugere i at åbne filen. Du kan angive lignende tilladelser til printere, så nogle brugere kan konfigurere printeren, og andre brugere kun kan udskrive.
Hvis du vil ændre tilladelserne til en fil, kan du åbne Windows Stifinder, højreklikke på filnavnet og klikke på Egenskaber. Under fanen Sikkerhed kan du ændre tilladelserne til filen. Du kan finde flere oplysninger under Administrere tilladelser.
Bemærk! | |
En anden form for tilladelser, der kaldes sharetilladelser, angives under fanen Deling på siden Egenskaber for en mappe eller ved hjælp af guiden Delt mappe. Du kan finde flere oplysninger under Share- og NTFS-tilladelser på en filserver. |
Ejerskab af objekter
Der tildeles en ejer til et objekt, når det pågældende objekt oprettes. Den person, der har oprettet objektet, er som standard ejeren af objektet. Uanset hvilke tilladelser der angives til et objekt, kan ejeren af objektet altid ændre tilladelserne til et objekt. Du kan finde flere oplysninger under Administrere ejerskabet af objekter.
Arve tilladelser
Med nedarvning kan administratorer let tildele og styre tilladelser. Ved hjælp af denne funktion arver objekter i en objektbeholder alle de tilladelser, der kan arves, i den pågældende objektbeholder. Filerne i en mappe arver f.eks. tilladelserne til mappen, når de oprettes. Det er kun tilladelser, der er markeret til nedarvning, der arves.
Brugerrettigheder
Brugerrettigheder tildeler specifikke rettigheder og logonrettigheder til brugere og grupper i computermiljøet. Administratorer kan tildele bestemte rettigheder til gruppekonti eller individuelle brugerkonti. Rettighederne giver brugerne mulighed for at udføre bestemte handlinger, f.eks. at logge interaktivt på et system eller sikkerhedskopiere filer og mapper.
Brugerrettigheder er anderledes end tilladelser, da brugerrettigheder gælder for brugerkonti, mens tilladelser er tilknyttet objekter. Selvom brugerrettigheder kan gælde for individuelle brugerkonti, anbefales det at administrere brugerrettigheder på gruppekontobasis. I brugergrænsefladen til adgangskontrol kan der ikke tildeles brugerrettigheder. Men brugerrettigheder kan administreres via snap-in'en Lokal sikkerhedspolitik under Lokale politikker\Tildeling af brugerrettigheder. Du kan finde flere oplysninger under Brugerrettigheder.
Objektovervågning
Med administratorrettigheder kan du overvåge, om det lykkes brugere at få adgang til objekter eller ej. Du kan vælge, hvilke objekter du vil overvåge adgangen til, ved hjælp af brugergrænsefladen til adgangskontrol, men du skal først aktivere overvågningspolitikken ved at vælge Overvåg objektadgang under Lokal politik\Overvågningspolitik\Lokale politikker i snap-in'en Lokal sikkerhedspolitik. Du kan derefter få vist disse sikkerhedsrelaterede hændelser i sikkerhedsloggen i Logbog.
Yderligere referencer
- Du kan finde flere oplysninger om godkendelse og adgangskontrol under
Windows-sikkerhedssamling. Siden er evt. på engelsk. (https://go.microsoft.com/fwlink/?LinkId=4565). - Oplysninger om godkendelsesstrategier finder du under
Udvikling af en strategi til ressourcegodkendelse. Siden er evt. på engelsk. (https://go.microsoft.com/fwlink/?LinkId=4734).