访问控制概述
访问控制是批准用户、组和计算机访问网络上的对象的过程。构成访问控制的主要概念是权限、用户权利和对象审查。
权限
权限应用到任何受保护的对象,例如,文件、Active Directory® 对象或注册表对象。权限可以授予任何用户、组或计算机。好的做法是将权限指派到组。
可以将对象的权限指派到:
- 域中的组、用户和特殊标识符。
- 该域或任何受信任域中的组和用户。
- 对象所在的计算机上的本地组和用户。
附加在对象上的权限取决于对象的类型。例如,附加给文件的权限与附加给注册表项的权限不同。但是,某些权限对于大多数类型的对象都是公用的。这些公用权限有:
- 读取权限
- 修改权限
- 更改所有者
- 删除
设置权限,就是为组和用户指定访问级别。例如,您可以允许一个用户读取文件的内容,允许另一个用户修改该文件,同时防止所有其他用户访问该文件。可以在打印机上设置类似的权限,使某些用户可以配置打印机,而其他用户只能用其打印。
如果您需要更改个别对象的权限,只要启动适当的工具和更改对象的属性即可。例如,要更改文件的权限,可以启动 Windows 资源管理器,右键单击文件名,然后单击“属性”。在“安全”选项卡上,可以更改文件的权限。详细信息,请参阅权限。
对象的所有权
对象在创建时,即有一个所有者指派给该对象。所有者被默认为对象的创建者。不管为对象设置什么权限,对象的所有者总是可以更改对象的权限。详细信息,请参阅所有权。权限的继承
继承使得管理员易于指派和管理权限。该功能自动使容器中的对象继承该容器的所有可继承权限。例如,文件夹中的文件,一经创建就继承了文件夹的权限。只继承标记为要继承的权限。用户权利
用户权利授予计算环境中的用户和组特定的特权和登录权利。
对象审核
可以审核用户对对象的访问情况。可以使用事件查看器在安全日志中查看这些与安全相关的事件。