Tilgangskontroll er prosessen med å godkjenne brukere, grupper og datamaskiner for tilgang til objekter på nettverket eller datamaskinen.

For å forstå og administrere tilgangskontroll, må du forstå sammenhengen mellom:

  • Objekter (filer, skrivere og andre ressurser)

  • Tilgangstokener

  • Tilgangskontrollister (ACLer) og tilgangskontrolloppføringer (ACEer)

  • Subjekter (brukere eller programmer)

  • Operativsystemet

  • Tillatelser

  • Brukerrettigheter og tilgangsrettigheter

Før et subjekt kan få tilgang til et objekt, må subjektet identifisere seg overfor sikkerhetsdelsystemet for operativsystemet. Denne identiteten er pakket inn i en tilgangstoken som gjenopprettes hver gang et subjekt logger seg på. Før operativsystemet gir et subjekt tilgang til et objekt, sjekker det om tilgangstokenen for subjektet har tillatelse til å få tilgang til objektet og til å utføre den ønskede oppgaven. Det gjør det ved å sammenligne informasjon i tilgangstokenen med tilgangskontrolloppføringer (ACEer) for objektet.

ACEer kan tillate eller nekte flere forskjellige atferder, avhengig av objekttypen. For eksempel kan alternativene for et filobjekt inneholde tillatelser for Lese, Skrive og Kjøre. På en skriver er ACEer som er tilgjengelige blant annet Skriv ut, Administrere skrivere og Administrere dokumenter.

Individuelle ACEer for et objekt kombineres i en tilgangskontrolliste (ACL). Sikkerhetsdelsystemet kontroller objektets ACL for ACEer som gjelder for brukeren og gruppene som brukeren er medlem av. Det går trinnvis gjennom hver ACE inntil det finner en som enten tillater eller nekter tilgang til brukeren eller en av brukerens grupper, eller til det ikke finnes flere ACEer å kontrollere. Hvis det kommer til enden av ACLen og den ønskede tilgangen fortsatt ikke nektes eller tillates eksplisitt, vil sikkerhetsdelsystemet nekte tilgang til objektet.

Tillatelser

Tillatelser definerer tilgangstypen som gis til en bruker eller en gruppe for et objekt eller en objektegenskap. Økonomigruppen kan for eksempel få lese- og skrivetillatelser for filen Payroll.dat.

Ved hjelp av brukergrensesnittet for tilgangskontroll kan du angi NTFS-tillatelser for objekter som filer, Active Directory-objekter, registerobjekter eller systemobjekter, for eksempel prosesser. Tillatelser kan gis til alle brukere, grupper eller datamaskiner. Det er god praksis å tilordne tillatelser til grupper, fordi det bedrer systemytelsen ved kontroll av tilgang til et objekt.

For ethvert objekt kan du gi tillatelser til følgende:

  • Grupper, brukere og andre objekter med sikkerhetsidentifikatorer i domenet.

  • Grupper og brukere i det aktuelle domenet og andre klarerte domener.

  • Lokale grupper og brukere på datamaskinen der objektet finnes.

Tillatelsene som er tilknyttet et objekt, avhenger av objekttypen. Tillatelsene som kan tilknyttes en fil, er for eksempel forskjellige fra de som kan tilknyttes en registernøkkel. Noen tillatelser er imidlertid felles for de fleste objekttyper. Disse fellestillatelsene er som følger:

  • Lese

  • Endre

  • Endre eier

  • Slette

Når du angir tillatelser, angir du tilgangsnivået for grupper og brukere. Du kan for eksempel la en bruker lese innholdet i en fil, la en annen gjøre endringer i filen, og nekte alle andre brukere tilgang til filen. Du kan angi lignende tillatelser på skrivere, slik at bestemte brukere kan konfigurere skriveren mens andre bare kan skrive ut.

Når du må endre tillatelsene på en fil, kan du kjøre Windows Utforsker, høyreklikke filnavnet og klikke Egenskaper. I kategorien Sikkerhet kan du endre tillatelsene for filen. Du finner mer informasjon i Behandle tillatelser.

Obs!  

En annen type tillatelser, kalt delingstillatelser, angis i kategorien DelingEgenskaper-siden for en mappe, eller ved å bruke veiviseren for delt mappe. Du finner mer informasjon i Delings- og NTFS-tillatelser på en filserver.

Eierskap for objekter

Det tildeles en eier til et objekt når objektet opprettes. Som standard er eieren oppretteren av objektet. Uansett hvilke tillatelser som er angitt for et objekt, kan eieren alltid endre tillatelsene for objektet. Du finner mer informasjon i Behandle objekteierskap.

Arv av tillatelser

Med arv kan administratorer enkelt tildele og håndtere tillatelser. Med denne funksjonen arver objekter i en beholder automatisk alle de arvbare tillatelsene i beholderen. Når filene i en mappe opprettes, arver de for eksempel tillatelsene i mappen. Bare tillatelser som er merket for arv, vil arves.

Brukerrettigheter og tilgangsrettigheter

Brukerrettigheter gir bestemte privilegier og påloggingsrettigheter til brukere og grupper i datamiljøet. Administratorer kan tildele spesielle rettigheter til gruppekontoer eller individuelle brukerkontoer Disse rettighetene gir brukerne rett til å utføre bestemte handlinger, som å logge på et system interaktivt eller sikkerhetskopiere filer og mapper.

Brukerrettigheter er noe annet enn Tillatelser fordi brukerrettigheter gjelder for brukerkontoer, mens tillatelser er koblet til objekter. Selv om brukerrettigheter kan brukes på brukerkontoer enkeltvis, administreres brukerrettigheter best om de baseres på gruppekontoer. Det er ikke støtte for å angi brukerrettigheter i brukergrensesnittet for tilgangskontroll, men tilordning av brukerrettigheter kan administreres via snapin-modulen Lokale sikkerhetsinnstillinger i Lokale policyer\Tilordning av brukerrettigheter. Hvis du vil ha mer informasjon, se Brukerrettigheter og privilegier.

Objektovervåking

Med administratorrettigheter kan du overvåke vellykket og mislykket tilgang til objekter for en bruker. Du kan velge hvilken objekttilgang du vil overvåke ved å bruke brukergrensesnittet for tilgangskontroll, men først må du aktivere overvåkningspolicyen ved å velge Overvåk objekttilgang i Lokal policy\Overvåkningspolicy\Lokale policyer i snapin-modulen Lokale sikkerhetsinnstillinger. Deretter kan du vise disse sikkerhetsrelaterte hendelsene i sikkerhetsloggen i Hendelsesliste.

Flere referanser