Åtkomstkontroll används för att auktorisera användare, grupper och datorer för objekt i ett nätverk eller på en dator.

Innan du kan förstå och hantera åtkomstkontroll, måste du förstå förhållandet mellan följande:

  • Objekt (filer, skrivare och andra resurser)

  • Åtkomsttoken

  • Åtkomstkontrollistor (ACL:er) och åtkomstkontrollposter (ACE:er)

  • Subjekt (användare eller program)

  • Operativsystemet

  • Behörigheter

  • Användarrättigheter och -privilegier

Innan ett subjekt kan få åtkomst till ett objekt, måste det identifiera sig för säkerhetsundersystemet i operativsystemet. Denna identitet finns i en åtkomsttoken som skapas på nytt varje gång ett subjekt loggar in. Innan subjektet får åtkomst till ett objekt kontrollerar operativsystemet om åtkomsttoken för subjektet har beviljats åtkomst till objektet och om den får slutföra den önskade aktiviteten. Detta sker genom att information i åtkomsttoken jämförs med åtkomstkontrollposter (ACE:er) för objektet.

ACE:er kan tillåta eller neka ett antal olika beteenden beroende på typ av objekt. Alternativ för ett filobjekt kan t.ex. inkludera Läsa, Skriva och Köra. På en skrivare är de ACE:er som är tillgängliga Skriv ut, Hantera skrivare och Hantera dokument.

Enskilda ACE:er för ett objekt kombineras i en åtkomstkontrollista (ACL). Säkerhetsundersystemet kontrollerar objektets ACL för ACE:er som gäller för användaren och grupperna som användaren tillhör. Den stegar genom varje ACE tills den hittar en som antingen tillåter eller nekar åtkomst till användaren eller en av användarens grupper eller tills det inte finns några ACE:er kvar att kontrollera. Om systemet kommer till slutet av ACL:en och den önskade åtkomsten fortfarande inte tillåts eller nekas nekar säkerhetsundersystemet åtkomst till objektet.

Behörigheter

Behörigheter definierar vilken typ av åtkomst som ska tilldelas en användare eller grupp för ett objekt eller en objektegenskap. Exempelvis kan gruppen Ekonomi beviljas läs- och skrivbehörighet för filen Löner.dat.

Med användargränssnittet för åtkomstkontroll kan du ange NTFS-behörigheter för objekt, t.ex. filer, Active Directory-objekt, registerobjekt eller systemobjekt, t.ex. processer. Behörigheter kan beviljas till alla användare, grupper och datorer. Det är en god vana att tilldela grupper behörigheter eftersom det ökar systemets prestanda när åtkomst till ett objekt verifieras.

För alla objekt kan du ge behörighet till:

  • Grupper, användare och andra objekt med säkerhetsidentifierare i domänen.

  • Grupper och användare i den domänen och alla betrodda domäner.

  • Lokala grupper och användare på datorn där objektet lagrats.

Vilka behörigheter som kopplas till ett objekt är beroende av typen av objekt. De behörigheter som kan kopplas till en fil är t.ex. olika dem som kan kopplas till en registernyckel. Vissa behörigheter gäller för de flesta typer av objekt. Dessa gemensamma behörigheter är:

  • Läsa

  • Ändra

  • Byta ägare

  • Ta bort

När du anger behörigheter anger du åtkomstnivån för grupper och användare. Du kan t.ex. låta en användare läsa innehållet i en fil, låta en annan användare göra ändringar i filen samt hindra alla andra att komma åt filen. Liknande behörigheter kan ställas in för skrivare så att vissa användare kan konfigurera skrivaren medan andra bara kan skriva ut från den.

När du behöver ändra behörigheterna för en fil kör du Utforskaren, högerklickar på filnamnet och klickar sedan på Egenskaper. Du ändrar behörigheterna för filen på fliken Säkerhet. Mer information finns i Hantera behörigheter.

OBS

En annan slags behörighet som kallas resursbehörighet, anges på fliken Delning på sidan Egenskaper för en mapp eller med hjälp av guiden Delad mapp. Mer information finns i Resurs- och NTFS-behörigheter på en filserver.

Ägarskap för objekt

En ägare kopplas till ett objekt när objektet skapas. Normalt är ägaren den som skapar objektet. Oavsett vilka behörigheter som angetts för ett objekt, kan ägaren alltid ändra behörigheterna för det. Mer information finns i Hantera objektägarskap.

Behörigheter som ärvs

Med hjälp av arv kan en administratör tilldela och hantera behörigheter på ett enkelt sätt. Med den här funktionen kommer de objekt som finns i en behållare att ärva alla ärftliga behörigheter för behållaren. Till exempel ärver filer i en mapp mappens behörigheter när de skapas. Endast behörigheter som är markerade för att ärvas ärvs.

Användarrättigheter och -privilegier

Användarrättigheter ger användare och grupper i datormiljön vissa privilegier och inloggningsrättigheter. Administratörer kan tilldela vissa rättigheter till gruppkonton eller individuella användarkonton. Dessa rättigheter ger användarna behörighet att utföra vissa åtgärder, som att logga in interaktivt på ett system eller säkerhetskopiera filer och kataloger.

Användarrättigheter skiljer sig från behörigheter: de förra gäller användarkonton och de senare är kopplade till objekt. Även om användarrättigheter kan gälla individuella användarkonton administreras användarrättigheter bäst på gruppkontonivå. Det finns inget stöd i användargränssnittet för åtkomstkontroll för att bevilja användarrättigheter. Användarrättigheter kan i stället administreras via snapin-modulen Lokala säkerhetsinställningar under Lokala principer\Tilldelning av användarrättigheter. Mer finns i Användarrättigheter och -privilegier.

Objektgranskning

Om du har administratörsrättigheter kan du granska om användare kan komma åt objekt eller inte. Du kan välja det objekt som du vill granska från användargränssnittet för åtkomstkontroll, men först måste du aktivera granskningsprincipen genom att markera Granska objektåtkomst under Lokal princip/Granskningsprincip/Lokala principer i snapin-modulen Lokala säkerhetsinställningar. Du kan sedan visa de säkerhetsrelaterade händelserna i säkerhetsloggen i Loggboken.

Ytterligare referenser

Innehåll