Управление доступом заключается в предоставлении пользователям, группам и компьютерам определенных прав на доступ к объектам по сети или на компьютере.

Чтобы контролировать управление доступом, необходимо понимать связь между следующими элементами.

  • Объекты (файлы, принтеры и другие ресурсы)

  • Токены доступа

  • Списки управления доступом (ACL) и записи управления доступом (ACE)

  • Субъекты (пользователи или приложения)

  • Операционная система

  • Разрешения

  • Права и привилегии пользователей

Прежде чем субъект сможет получить доступ к объекту, он должен идентифицировать себя в подсистеме безопасности операционной системы. Удостоверение содержится в токене доступа, который создается заново при каждом входе субъекта в систему. Прежде чем разрешить субъекту доступ к объекту, операционная система проверяет, авторизован ли токен доступа субъекта для обращения к объекту и выполнения нужной задачи. Для этого сравниваются данные токена доступа и записи управления доступом (ACE) для объекта.

В зависимости от типа объекта ACE могут разрешать или запрещать ряд различных поведений. Например, к параметрам объекта файла могут относиться «Чтение», «Запись» или «Выполнение». Доступные для принтера ACE включают «Печать», «Управление принтерами», «Управление документами».

Отдельные ACE для объекта объединены в списке управления доступом (ACL). Подсистема безопасности проверяет ACL объекта на наличие ACE, применимых к пользователям и группам, в состав которых входит пользователь. Она проходит через каждую запись ACE до тех пор, пока не будет найдена та, которая либо разрешает, либо запрещает доступ для пользователя или группы пользователей, или пока не будут проверены все записи ACE. Если по достижении конца списка ACL нужное право доступа явно ни разрешено, ни запрещено, подсистема безопасности отказывает в доступе к объекту.

Разрешения

Разрешения определяют тип доступа к объекту или его свойству, предоставленный пользователю или группе. Например, группе пользователей финансового отдела можно предоставить разрешения на чтение и запись для файла платежной ведомости Payroll.dat.

С помощью пользовательского интерфейса управления доступом можно установить разрешения NTFS для таких объектов, как файлы, объекты Active Directory, объекты реестра или системные объекты, например процессы. Разрешения могут быть предоставлены любому пользователю, группе или компьютеру. Целесообразно установить разрешения для групп, поскольку эту увеличивает быстродействие системы при проверке прав доступа к объекту.

Для любого объекта можно предоставить разрешения:

  • группам, пользователям и другим объектам с идентификаторами безопасности домена;

  • группам и пользователям данного или любого доверенного домена;

  • локальным группам и пользователям на том компьютере, на котором находится объект.

Разрешения, назначаемые объекту, зависят от его типа. Например, разрешения, которые могут быть назначены для файла, отличаются от разрешений, допустимых для раздела реестра. Однако некоторые разрешения являются общими для большинства типов объектов. Общие разрешения перечислены ниже.

  • Чтение

  • Изменение

  • Смена владельца

  • Удаление

При установке разрешений определяется уровень доступа для групп и пользователей. Например, одному пользователю можно разрешить читать содержимое файла, другому - вносить изменения в файл, а всем остальным пользователям вообще запретить доступ к этому файлу. Так же можно устанавливать разрешения на доступ к принтерам, чтобы одни пользователи могли настраивать принтер, а другие - только печатать.

Чтобы изменить разрешения на доступ к файлу, запустите проводник, щелкните имя файла правой кнопкой мыши и выберите пункт Свойства. На вкладке Безопасность можно изменить разрешения для файла. Дополнительные сведения см. в разделе Управление разрешениями.

Примечание

Другой тип разрешений - разрешения для общего ресурса - устанавливается на вкладке Доступ на странице папки Свойства или с помощью мастера создания общей папки. Дополнительные сведения см. в разделе Разрешения для общего ресурса и разрешения NTFS на файловом сервере.

Владение объектами

При создании объекта ему назначается владелец. По умолчанию владельцем объекта назначается тот, кто его создал. Какие бы разрешения ни были установлены для объекта, владелец объекта всегда может изменить эти разрешения. Дополнительные сведения см. в разделе Управление владением объектами.

Наследование разрешений

Механизм наследования облегчает администраторам задачи назначения разрешений и управления ими. Благодаря этому механизму разрешения, установленные для контейнера, автоматически распространяются на все объекты этого контейнера. Например, файлы, создаваемые в папке, наследуют разрешения этой папки. Наследуются только отмеченные для наследования разрешения.

Права и привилегии пользователей

Права пользователей позволяют пользователям и группам в компьютерной среде пользоваться особыми привилегиями и правами на вход в систему. Администраторы могут назначать права учетным записям групп или отдельных пользователей. Эти права позволяют пользователям выполнять конкретные действия, такие как интерактивный вход в систему или архивирование файлов и каталогов.

Права пользователей отличаются от разрешений тем, что применяются к учетным записям пользователей, а не к объектам. Хотя права пользователей и могут применяться к учетным записям отдельных пользователей, удобнее администрировать права пользователей на основе групп. Пользовательский интерфейс управления доступом не поддерживает прав пользователей, однако их предоставлением можно управлять с помощью оснастки «Локальные параметры безопасности» в Локальные политики/Назначение прав пользователей. Дополнительные сведения см. в разделе Права и привилегии пользователей.

Аудит объектов

Обладая правами администратора, можно контролировать успешные и неудавшиеся попытки доступов пользователей к объектам. Можно выбрать объект, аудит доступа к которому выполняется с помощью пользовательского интерфейса управления доступом, но сначала необходимо включить политику аудита, выбрав Доступ к объекту аудита в элементе Локальная политика/Политика аудита/Локальные политики в оснастке «Локальная политика безопасности». Впоследствии события, связанные с безопасностью, можно просмотреть в журнале безопасности в средстве просмотра событий.

Дополнительные ссылки