Erişim denetimi, kullanıcıları, grupları ve bilgisayarları ağ veya bilgisayar üzerindeki nesnelere erişmek üzere yetkilendirme işlemidir.
Erişim denetimini anlamak ve yönetmek için aşağıdakiler arasındaki ilişkiyi anlamanız gerekir:
- Nesneler (dosyalar, yazıcılar ve diğer kaynaklar)
- Erişim belirteçleri
- Erişim denetimi listeleri (ACL) ve erişim denetimi girdileri (ACE)
- Özneler (kullanıcılar veya uygulamalar)
- İşletim sistemi
- İzinler
- Kullanıcı hakları ve ayrıcalıklar
Bir öznenin bir nesneye erişebilmesi için, önce işletim sisteminin güvenlik altsistemine kendini tanıtması gerekir. Bu kimlik, öznenin her oturum açışında yeniden oluşturulan erişim belirtecinde yer alır. Öznenin bir nesneye erişimine izin vermeden önce, işletim sistemi, özneye ilişkin erişim belirtecinin nesneye erişmek ve istenen görevi tamamlamak için yetkilendirilip yetkilendirilmediğini denetler. Bunu, erişim belirtecindeki bilgileriyle nesneye ilişkin erişim denetimi girdilerini (ACE) karşılaştırarak yapar.
ACE'ler, nesnenin türüne bağlı olarak çeşitli davranışlara izin verir veya vermez. Örneğin, bir dosya nesnesindeki seçenekler Okuma, Yazma ve Yürütme erişimlerini içerebilir. Bir yazıcıda kullanılabilir ACE'ler Yazdırma, Yazıcıları yönetme ve Belgeleri yönetme erişimlerini içerir.
Bir nesneye ilişkin tek tek ACE'ler, bir erişim denetimi listesinde (ACL) birleştirilir. Güvenlik altsistemi, kullanıcıya ve kullanıcının ait olduğu gruplara uygulanacak ACE'ler için nesnenin ACL'sini denetler. Kullanıcının veya kullanıcının gruplarından birinin erişimine izin veren veya vermeyen bir ACE buluncaya veya denetlenecek ACE kalmayıncaya kadar, her bir ACE'yi tek tek denetler. ACL'nin sonuna geldiğinde istenen erişime izin verilip verilmediği hala açık bir şekilde belirtilmemişse, güvenlik altsistemi nesneye erişime izin vermez.
İzinler
İzinler, kullanıcı veya gruba bir nesne veya nesne özelliğine ilişkin verilen erişimin türünü tanımlar. Örneğin, Finans grubuna Bordro.dat dosyası için Okuma ve Yazma izinleri verilebilir.
Erişim denetimi kullanıcı arabirimini kullanarak dosyalar, Active Directory nesneleri, kayıt defteri nesneleri veya sistem nesneleri (örneğin, işlemler) gibi nesneler için NTFS izinlerini ayarlayabilirsiniz. İzinler, herhangi bir kullanıcıya, gruba veya bilgisayara verilebilir. Bir nesneye erişimi doğrularken sistem performansını geliştirdiği için, gruplara izinler atamak iyi bir uygulamadır.
Herhangi bir nesne için aşağıdakilere izinler verebilirsiniz:
-
Gruplar, kullanıcılar ve etki alanında güvenlik tanımlayıcıları olan diğer nesneler.
-
Bu etki alanındaki ve güvenilen herhangi bir etki alanındaki gruplara ve kullanıcılara.
-
Nesnelerin bulunduğu bilgisayardaki yerel gruplara ve kullanıcılara.
Nesneye bağlanan izinler nesnenin türüne bağlıdır. Örneğin, bir dosyaya bağlanabilecek izinler kayıt defteri anahtarına bağlanabilecek izinlerden farklıdır. Ancak bazı izinler çoğu nesne türü için ortaktır. Ortak izinler şunlardır:
-
Oku
-
Değiştir
-
Sahibi değiştir
-
Sil
İzinleri ayarladığınızda, grupların ve kullanıcıların erişim düzeyini belirleyebilirsiniz. Örneğin, bir kullanıcıya dosyanın içeriğini okuma, başka bir kullanıcıya dosyada değişiklikler yapma izni verip, diğer tüm kullanıcıların dosyaya erişimlerini önleyebilirsiniz. Yazıcılarda da benzer izinleri düzenleyerek belirli kullanıcıların yazıcıyı yapılandırabilmelerine, diğerlerinin ise bu yazıcıdan yalnızca yazdırabilmelerine olanak verebilirsiniz.
Bir dosyadaki izinleri değiştirmeniz gerektiğinde, Windows Gezgini’ni çalıştırabilir, dosya adını sağ tıklatıp Özellikler’i seçebilirsiniz. Güvenlik sekmesinde, dosyanın izinlerini değiştirebilirsiniz. Daha fazla bilgi için, bkz: İzinleri Yönetme.
Not | |
Paylaşım izinleri olarak adlandırılan diğer izin türü, klasörün Özellikler sayfasının Paylaşım sekmesinde veya Paylaşılan Klasör sihirbazı kullanılarak ayarlanır. Daha fazla bilgi için bkz. Dosya Sunucusunda Paylaşım ve NTFS İzinleri. |
Nesnelerin Sahipliği
Nesne oluşturulduğunda, bu nesneye sahip atanır. Varsayılan olarak, nesnenin sahibi oluşturanıdır. Nesne için hangi izinlerin düzenlendiğine bakılmaksızın, nesnenin sahibi nesne izinlerini istediği zaman değiştirebilir. Daha fazla bilgi için, bkz: Nesne Sahipliğini Yönetme.
İzinleri devralma
Devralma, izinlerin yöneticiler tarafından kolaylıkla atanıp yönetilmesine izin verir. Bu özellik, kapsayıcı içindeki nesnelerin, bu kapsayıcının devralınabilir tüm izinleri otomatik olarak devralmasına neden olur. Örneğin, bir klasördeki dosyalar, oluşturulduklarında klasörün izinlerini devralırlar. Yalnızca devranılacak olarak işaretlenmiş izinler devralınır.
Kullanıcı hakları ve ayrıcalıklar
Kullanıcı hakları, bilgisayar ortamınızdaki kullanıcı ve gruplara belirli ayrıcalıklar ve oturum açma hakları verir. Yöneticiler grup hesaplarına veya bireysel kullanıcı hesaplarına belirli haklar atayabilirler. Bu haklar kullanıcılara, bir sistemde etkileşimli oturum açma veya dosya ve dizinleri yedekleme yetkisi verir.
Kullanıcı hakları izinlerden farklıdır, çünkü kullanıcı hakları kullanıcı hesaplarına uygulanır ve izinler nesnelere eklenir. Kullanıcı hakları bireysel kullanıcı hesaplarına uygulanabilmelerine rağmen, en iyi grup hesapları temelinde yönetilirler. Erişim denetimi kullanıcı arabirimi, kullanıcı hakları vermeyi desteklemez; ancak, kullanıcı hakları ataması, Yerel İlkeler/Kullanıcı Hakları Ataması altındaki Yerel Güvenlik İlkesi ek bileşeniyle yönetilebilir. Daha fazla bilgi için bkz. Kullanıcı Hakları ve Ayrıcalıklar.
Nesne denetimi
Yönetici haklarıyla, kullanıcının nesneye olan başarılı veya başarısız erişimini denetleyebilirsiniz. Erişim denetimi kullanıcı arabirimini kullanarak hangi nesne erişiminin denetleneceğini seçebilirsiniz; ancak, öncelikle Yerel Güvenlik Ayarları ek bileşeninde Yerel İlke\Denetim İlkesi\Yerel İlkeler altındaki Nesne erişimini denetle seçeneğini belirleyerek denetim ilkesini etkinleştirmelisiniz. Ardından, güvenlikle ilgili bu olayları Olay Görüntüleyicisi'ndeki Güvenlik günlüğünde görüntüleyebilirsiniz.
Ek başvurular
- Yetkilendirme ve erişim denetimi hakkında daha fazla bilgi için, bkz.
Windows Güvenlik Koleksiyonu (bu sayfa İngilizce içeriğe sahip olabilir) (https://go.microsoft.com/fwlink/?LinkId=4565). - Yetkilendirme stratejisi hakkında daha fazla bilgi için, bkz.
Kaynak Yetkilendirme Stratejisi Tasarlama (bu sayfa İngilizce içeriğe sahip olabilir) (https://go.microsoft.com/fwlink/?LinkId=92695).