Visão geral de controle de acesso

Para compreender e gerenciar o controle de acesso, é necessário entender a relação entre:

• Objetos (arquivos, impressoras e outros recursos)
  
  
• Tokens de acesso
  
  
• ACLs (listas de controle de acesso) e ACEs (entradas de controle de acesso)
  
  
• Entidades (usuários ou aplicativos)
  
  
• O sistema operacional
  
  
• Permissões
  
  
• Direitos e privilégios do usuário
  
  

Antes de uma entidade obter acesso a um objeto, ela deve se identificar para o subsistema de segurança do sistema operacional. Essa identidade está contida no token de acesso que é recriado cada vez que uma entidade faz logon. Antes de permitir o acesso de uma entidade a um objeto, o sistema operacional verifica e determina se o token de acesso da entidade tem autorização para acessar o objeto e concluir a tarefa desejada. Isso é feito por meio da comparação de informações do token de acesso com as ACEs do objeto.

As ACEs podem permitir ou negar vários comportamentos diferentes, dependendo do tipo de objeto. Por exemplo, as opções de um objeto de arquivo podem incluir Leitura, Gravação e Execução. Em uma impressora, as ACEs disponíveis incluem Imprimir, Gerenciar impressoras e Gerenciar documentos.

As ACEs individuais de um objeto são combinadas em uma ACL. O subsistema de segurança verifica a ACL do objeto para as ACEs que se aplicam ao usuário e aos grupos aos quais ele pertence. Ele passa por todas as ACEs, até encontrar uma que permita ou negue o acesso ao usuário ou a um dos grupos do usuário, ou até que não haja mais nenhuma ACE para ser verificada. Se chegar ao fim da ACL sem que o acesso desejado tenha sido explicitamente permitido ou negado, o subsistema de segurança negará o acesso ao objeto.

As permissões definem o tipo de acesso concedido a um usuário ou grupo para um objeto ou propriedade de objeto. Por exemplo, o grupo Finanças pode receber as permissões de leitura e gravação para o arquivo Payroll.dat.

Ao usar a interface de usuário de controle de acesso, você pode definir permissões de NTFS para objetos como arquivos, objetos do Active Directory, objetos do Registro ou objetos do sistema, como processos. Pode-se conceder permissões a qualquer usuário, grupo ou computador. O ideal é atribuir permissões a grupos, pois isso melhora o desempenho do sistema ao verificar o acesso a um objeto.

Para qualquer objeto, você pode conceder permissões a:

• Grupos, usuários e outros objetos com identificadores de segurança no domínio.
  
  
• Grupos e usuários desse domínio e de domínios confiáveis.
  
  
• Grupos e usuários locais do computador no qual o objeto reside.
  
  

As permissões anexadas a um objeto dependem do tipo do objeto. Por exemplo, as permissões que podem ser anexadas a um arquivo diferem das que podem ser anexadas a uma chave do Registro. Algumas permissões, no entanto, são comuns à maioria dos tipos de objetos. Essas permissões são:

• Leitura
  
  
• Modificar
  
  
• Alterar proprietário
  
  
• Excluir
  
  

Ao configurar permissões, você especifica o nível de acesso para grupos e usuários. Por exemplo, você pode deixar um usuário ler o conteúdo de um arquivo, deixar outro usuário fazer alterações no arquivo e evitar que todos os outros usuários acessem o arquivo. É possível definir permissões similares em impressoras, para que determinados usuários possam configurar a impressora e outros usuários possam apenas imprimir.

Para alterar as permissões em um arquivo, você pode iniciar o Windows Explorer, clicar com o botão direito do mouse no nome do arquivo e clicar em Propriedades. Na guia Segurança, você pode alterar as permissões no arquivo. Para obter mais informações, consulte Gerenciando permissões.

	Observação
	Outro tipo de permissão, chamada de permissão de compartilhamento, é definida na guia Compartilhamento da página Propriedades de uma pasta ou usando o assistente de Pasta Compartilhada. Para obter mais informações, consulte Permissões de compartilhamento e NTFS em um servidor de arquivos.

Os direitos do usuário concedem privilégios e direitos de logon específicos a usuários e grupos em seu ambiente de computação. Os administradores podem atribuir direitos específicos a contas de grupos ou a contas de usuários individuais. Esses direitos autorizam os usuários a executarem ações específicas, como fazer logon em um sistema interativamente ou fazer backup de arquivos e pastas.

Os direitos do usuário diferem das permissões, porque os direitos se aplicam a contas de usuário e as permissões são anexadas a objetos. Apesar de os direitos do usuário se aplicarem a contas de usuário individuais, é melhor administrá-los em contas de grupo. A interface de usuário de controle de acesso não dá suporte à concessão de direitos de usuário; no entanto, a atribuição desses direitos pode ser administrada por meio do snap-in Diretiva de Segurança Local, em Diretivas Locais\Atribuição de Direitos de Usuário. Para obter mais informações, consulte Direitos e privilégios do usuário.

Com direitos do administrador, você pode auditorar o acesso obtido ou não dos usuários aos objetos. É possível selecionar o acesso ao objeto que será auditado usando a interface de usuário de controle de acesso, mas primeiro é preciso habilitar a diretiva de auditoria selecionando Auditoria de acesso a objetos em Diretiva Local\Diretiva de Auditoria\Diretivas Locais no snap-in Diretiva de Segurança Local. Em seguida, você verá esses eventos relacionados à segurança no log Segurança do Visualizador de Eventos.

Referências adicionais

• Para obter mais informações sobre autorização e controle de acesso, consulte Conjunto de segurança do Windows (a página pode estar em inglês) (https://go.microsoft.com/fwlink/?LinkId=4565).
  
  
• Para obter mais informações sobre a estratégia de autorização, consulte Criando uma estratégia de autorização de recursos (a página pode estar em inglês) (https://go.microsoft.com/fwlink/?LinkId=4734).