Toegangsbeheer is het proces waarbij gebruikers, groepen en computers worden gemachtigd objecten in het netwerk of op de computer te benaderen.

Als wilt weten hoe toegangbeheer werkt en hoe u toegangbeheer kunt gebruiken, moet u begrijpen wat de relatie is tussen de volgende zaken:

  • Objecten (bestanden, printers en andere bronnen)

  • Toegangstokens

  • Toegangsbeheerlijsten (Access Control Lists, ACL's) en toegangsbeheervermeldingen (Access Control Entries, ACE's)

  • Subjecten (gebruikers of toepassingen)

  • Het besturingssysteem

  • Machtigingen

  • Gebruikersrechten en -bevoegdheden

Voordat een subject toegang kan krijgen tot een object, moet het zijn identiteit bekendmaken bij het beveiligingssubsysteem van het besturingssysteem. Deze identiteit bevindt zich binnen in een toegangstoken, dat steeds opnieuw wordt gemaakt wanneer een subject zich aanmeldt. Voordat aan het subject toegang tot een object wordt verleend, controleert het besturingssysteem of het toegangstoken voor het subject gemachtigd is om het object te gebruiken en de gewenste taak uit te voeren. Dit wordt gecontroleerd door de gegevens in het toegangstoken te vergelijken met toegangsbeheervermeldingen (ACE's) voor het object.

Via toegangsbeheervermeldingen kunnen een aantal verschillende bewerkingen worden toegestaan of geweigerd, afhankelijk van het type object. Opties voor een bestandsobject kunnen bijvoorbeeld Lezen, Schrijven en Uitvoeren zijn. Voor een printer behoren Afdrukken, Printers beheren en Documenten beheren tot de beschikbare toegangsbeheervermeldingen.

De afzonderlijke toegangsbeheervermeldingen voor een object worden samengebracht in een toegangsbeheerlijst (ACL). Het beveiligingssubsysteem controleert de toegangsbeheerlijst van het object op toegangsbeheervermeldingen die van toepassing zijn op de gebruiker en de groepen waartoe de gebruiker behoort. De lijst met toegangsbeheervermeldingen wordt doorlopen totdat er een vermelding wordt gevonden die de gebruiker of een van de groepen van de gebruiker toegang verleent of de toegang weigert of totdat er geen toegangsbeheervermeldingen meer zijn om te controleren. Als het beveiligingssubsysteem het einde van de toegangsbeheerlijst bereikt zonder dat er een toegangsbeheervermelding wordt gevonden die het subject de toegang tot het object expliciet verleent of weigert, wordt de toegang tot het object geweigerd.

Machtigingen

Machtigingen bepalen welk type toegang aan een gebruiker of groep wordt toegewezen voor een object of objecteigenschap. Zo kunnen aan de groep Financiën bijvoorbeeld de machtigingen Lezen en Schrijven worden verleend voor het bestand Salarissen.dat.

Met de gebruikersinterface voor toegangsbeheer kunt u NTFS-machtigingen instellen voor objecten (zoals bestanden), Active Directory-objecten, registerobjecten of systeemobjecten (zoals processen). U kunt machtigingen verlenen aan gebruikers, groepen en computers. Het is aan te raden machtigingen aan groepen toe te wijzen, omdat hierdoor de systeemprestaties worden verbeterd wanneer toegang tot een object wordt geverifieerd.

U kunt voor elk object machtigingen toewijzen aan:

  • Groepen, gebruikers en andere objecten met speciale identiteiten in het domein.

  • Groepen en gebruikers in dat domein en in alle andere vertrouwde domeinen.

  • Lokale groepen en gebruikers op de computer waarop het object zich bevindt.

Welke machtigingen aan een object worden gekoppeld, is afhankelijk van het type object. Aan een bestand kunnen bijvoorbeeld andere machtigingen worden gekoppeld dan aan een registersleutel. Sommige machtigingen kunnen echter aan vrijwel alle objecttypen worden gekoppeld. Deze algemene machtigingen zijn:

  • Lezen

  • Wijzigen

  • Eigenaar wijzigen

  • Verwijderen

Wanneer u machtigingen instelt, geeft u het toegangsniveau op voor groepen en gebruikers. U kunt bijvoorbeeld de ene gebruiker in staat stellen de inhoud van een bestand te lezen en te wijzigen, een andere gebruiker alleen machtigen om het bestand te lezen, en voor alle andere gebruikers de toegang tot het bestand blokkeren. U kunt soortgelijke machtigingen instellen voor printers, zodat bepaalde gebruikers de printer kunnen configureren terwijl andere gebruikers er alleen op kunnen afdrukken.

Als u de machtigingen voor een bestand wilt wijzigen, opent u Windows Verkenner, klikt u met de rechtermuisknop op de bestandsnaam en klikt u op Eigenschappen. Op het tabblad Beveiliging kunt u de machtigingen voor het bestand wijzigen. Zie Machtigingen beheren voor meer informatie.

Opmerking

Een ander type machtigingen, de zogenaamde sharemachtigingen, wordt ingesteld op het tabblad Delen van de pagina Eigenschappen of via de wizard Gedeelde map. Zie Sharemachtigingen en NTFS-machtigingen op een bestandsserver.

Eigendom van objecten

Een eigenaar wordt aan een object toegewezen wanneer dat object wordt gemaakt. De eigenaar is standaard degene die het object heeft gemaakt. De eigenaar van een object kan de machtigingen voor dat object altijd wijzigen, ongeacht welke machtigingen voor het object zijn ingesteld. Zie Eigendom van objecten beheren voor meer informatie.

Overname van machtigingen

Dankzij de overnamefunctionaliteit kunnen beheerders machtigingen gemakkelijk toewijzen en beheren. Op die manier krijgen objecten in een container automatisch alle overneembare machtigingen van die container. Voor de bestanden die in een map worden gemaakt, worden bijvoorbeeld de machtigingen van die map overgenomen. Alleen machtigingen die voor overname zijn gemarkeerd, worden overgenomen.

Gebruikersrechten en -bevoegdheden

Door middel van gebruikersrechten kunt u gebruikers en groepen in uw computeromgeving speciale bevoegdheden en aanmeldingsrechten verlenen. Administrators kunnen bepaalde rechten toewijzen aan groepsaccounts of individuele gebruikersaccounts. Deze rechten geven gebruikers een machtiging voor het uitvoeren van specifieke handelingen, zoals interactief aanmelden bij een systeem of back-ups maken van bestanden en mappen.

Het verschil tussen gebruikersrechten en machtigingen is dat gebruikersrechten van toepassing zijn op gebruikersaccounts en machtigingen zijn gekoppeld aan objecten. Gebruikersrechten kunnen gelden voor individuele gebruikersaccounts, maar kunnen het best worden beheerd op basis van groepsaccounts. De gebruikersinterface voor toegangsbeheer biedt geen ondersteuning voor het toewijzen van gebruikersrechten. Het toewijzen van gebruikersrechten kan worden beheerd via de module Lokaal beveiligingsbeleid onder Lokaal beleid\Toewijzing van gebruiksrecht. Zie Gebruikersrechten en bevoegdheden voor meer informatie.

Objectcontrole

Met beheerdersrechten kunt u geslaagde of mislukte toegangspogingen van gebruikers voor objecten controleren. Via de gebruikersinterface voor toegangsbeheer kunt u de objecttoegang selecteren die u wilt controleren. U moet echter eerst het controlebeleid inschakelen. Selecteer hiervoor Objecttoegang controleren onder Lokaal beleid\Controlebeleid\Lokaal beleid in de module Lokaal beveiligingsbeleid. U kunt de gebeurtenissen die betrekking hebben op de beveiliging, vervolgens bekijken in het beveiligingslogboek in Logboeken.

Aanvullende naslaginformatie


Inhoudsopgave