2016年8月31日

• 適用于：Windows 7，Windows 8.1，Windows Server 2008 R2，Windows Server 2012 R2，Windows Server 2012，Windows 8

本專業(yè)的IT專業(yè)人員介紹了Windows中的訪問控制，這是授權(quán)用戶，組和計(jì)算機(jī)訪問網(wǎng)絡(luò)或計(jì)算機(jī)上的對象的過程。構(gòu)成訪問控制的關(guān)鍵概念是權(quán)限，對象的所有權(quán)，權(quán)限的繼承，用戶權(quán)限和對象審計(jì)。

功能描述

運(yùn)行受支持的Windows版本的計(jì)算機(jī)可以通過相互關(guān)聯(lián)的身份驗(yàn)證和授權(quán)機(jī)制來控制系統(tǒng)和網(wǎng)絡(luò)資源的使用。用戶通過身份驗(yàn)證后，Windows操作系統(tǒng)使用內(nèi)置授權(quán)和訪問控制技術(shù)來實(shí)現(xiàn)保護(hù)資源的第二階段：確定經(jīng)過身份驗(yàn)證的用戶是否具有訪問資源的正確權(quán)限。

共享資源可供除資源所有者以外的用戶和組使用，并且需要保護(hù)它們以防止未經(jīng)授權(quán)的使用。在訪問控制模型中，用戶和組（也稱為安全主體）由唯一安全標(biāo)識符（SID）表示。為他們分配權(quán)限和權(quán)限，通知操作系統(tǒng)每個用戶和組可以執(zhí)行的操作。每個資源都有一個授予安全主體權(quán)限的所有者。在訪問控制檢查期間，將檢查這些權(quán)限以確定哪些安全主體可以訪問資源以及如何訪問它。

安全主體對對象執(zhí)行操作（包括讀取，寫入，修改或完全控制）。對象包括文件，文件夾，打印機(jī)，注冊表項(xiàng)和Active Directory域服務(wù)（AD DS）對象。共享資源使用訪問控制列表（ACL）來分配權(quán)限。這使資源管理器能夠通過以下方式實(shí)施訪問控制：

• 拒絕訪問未經(jīng)授權(quán)的用戶和組

• 為提供給授權(quán)用戶和組的訪問設(shè)置明確定義的限制

對象所有者通常向安全組而不是單個用戶授予權(quán)限。添加到現(xiàn)有組的用戶和計(jì)算機(jī)將承擔(dān)該組的權(quán)限。如果對象（例如文件夾）可以容納其他對象（例如子文件夾和文件），則稱其為容器。在對象層次結(jié)構(gòu)中，容器與其內(nèi)容之間的關(guān)系通過將容器稱為父容器來表示。容器中的對象稱為子對象，子對象繼承父對象的訪問控制設(shè)置。對象所有者通常為容器對象而不是單個子對象定義權(quán)限，以簡化訪問控制管理。

此內(nèi)容集包含：

• 動態(tài)訪問控制概述

• 安全標(biāo)識符技術(shù)概述

• 安全主體技術(shù)概述

• 本地帳戶

• Active Directory帳戶

• Microsoft帳戶

• 服務(wù)帳戶

• Active Directory安全組

實(shí)際應(yīng)用

使用受支持的Windows版本的管理員可以優(yōu)化對對象和主題的訪問控制的應(yīng)用程序和管理，以提供以下安全性：

• 保護(hù)更多數(shù)量和種類的網(wǎng)絡(luò)資源免遭濫用。

• 為用戶提供以與組織策略及其作業(yè)要求一致的方式訪問資源。

• 使用戶能夠從多個位置的各種設(shè)備訪問資源。

• 隨著組織的策略更改或用戶的工作更改，更新用戶定期訪問資源的能力。

• 考慮到越來越多的使用場景（例如從遠(yuǎn)程位置或從快速擴(kuò)展的各種設(shè)備（例如平板電腦和移動電話）訪問）。

• 當(dāng)合法用戶無法訪問執(zhí)行其工作所需的資源時，識別并解決訪問問題。

權(quán)限

權(quán)限定義授予對象或?qū)ο髮傩缘挠脩艋蚪M的訪問類型。例如，可以為Finance組授予名為Payroll.dat的文件的讀寫權(quán)限。

通過使用訪問控制用戶界面，您可以為對象（如文件，Active Directory對象，注冊表對象或系統(tǒng)對象（如進(jìn)程））設(shè)置NTFS權(quán)限。權(quán)限可以授予任何用戶，組或計(jì)算機(jī)。為組分配權(quán)限是一種很好的做法，因?yàn)樗梢栽隍?yàn)證對象的訪問權(quán)限時提高系統(tǒng)性能。

對于任何對象，您可以授予以下權(quán)限：

• 域中具有安全標(biāo)識符的組，用戶和其他對象。

• 該域和任何受信任域中的組和用戶。

• 對象所在的計(jì)算機(jī)上的本地組和用戶。

附加到對象的權(quán)限取決于對象的類型。例如，可以附加到文件的權(quán)限與可以附加到注冊表項(xiàng)的權(quán)限不同。但是，某些權(quán)限對于大多數(shù)類型的對象是通用的。這些常見權(quán)限是：

• 讀

• 修改

• 改變所有者

• 刪除

設(shè)置權(quán)限時，可以指定組和用戶的訪問級別。例如，您可以讓一個用戶讀取文件的內(nèi)容，讓另一個用戶更改文件，并阻止所有其他用戶訪問該文件。您可以在打印機(jī)上設(shè)置類似的權(quán)限，以便某些用戶可以配置打印機(jī)，而其他用戶只能打印。

當(dāng)您需要更改文件的權(quán)限時，可以運(yùn)行Windows資源管理器，右鍵單擊文件名，然后單擊“ 屬性”。在“ 安全”選項(xiàng)卡上，您可以更改文件的權(quán)限。有關(guān)更多信息，請參閱管理權(quán)限。

 注意

另一種權(quán)限稱為共享權(quán)限，在文件夾的“ 屬性”頁面的“共享”選項(xiàng)卡上或使用“共享文件夾向?qū)А痹O(shè)置。有關(guān)更多信息，請參閱文件服務(wù)器上的共享和NTFS權(quán)限。

對象的所有權(quán)

創(chuàng)建該對象時，會將所有者分配給對象。默認(rèn)情況下，所有者是對象的創(chuàng)建者。無論在對象上設(shè)置了什么權(quán)限，對象的所有者都可以隨時更改權(quán)限。有關(guān)更多信息，請參閱管理對象所有權(quán)。

權(quán)限的繼承

繼承允許管理員輕松分配和管理權(quán)限。此功能會自動使容器中的對象繼承該容器的所有可繼承權(quán)限。例如，文件夾中的文件繼承該文件夾的權(quán)限。僅繼承標(biāo)記為要繼承的權(quán)限。

用戶權(quán)利

用戶權(quán)限授予計(jì)算環(huán)境中用戶和組的特定權(quán)限和登錄權(quán)限。管理員可以為組帳戶或單個用戶帳戶分配特定權(quán)限。這些權(quán)限授權(quán)用戶執(zhí)行特定操作，例如以交互方式登錄系統(tǒng)或備份文件和目錄。

用戶權(quán)限與權(quán)限不同，因?yàn)橛脩魴?quán)限適用于用戶帳戶，權(quán)限與對象相關(guān)聯(lián)。雖然用戶權(quán)限可以應(yīng)用于單個用戶帳戶，但最好以組帳戶為基礎(chǔ)管理用戶權(quán)限。訪問控制用戶界面中不支持授予用戶權(quán)限。但是，可以通過“ 本地安全設(shè)置”管理用戶權(quán)限分配。

有關(guān)用戶權(quán)限的更多信息，請參閱用戶權(quán)限分配。

對象審計(jì)

使用管理員權(quán)限，您可以審核用戶對對象的成功或失敗訪問。您可以使用訪問控制用戶界面選擇要審核的對象訪問權(quán)限，但首先必須通過在“ 本地安全設(shè)置”中的“ 本地策略”下選擇“ 審核對象訪問”來啟用審核策略。然后，您可以在事件查看器的安全日志中查看這些與安全相關(guān)的事件。