2016年8月31日

• 适用于：Windows 7，Windows 8.1，Windows Server 2008 R2，Windows Server 2012 R2，Windows Server 2012，Windows 8

本专业的IT专业人员介绍了Windows中的访问控制，这是授权用户，组和计算机访问网络或计算机上的对象的过程。构成访问控制的关键概念是权限，对象的所有权，权限的继承，用户权限和对象审计。

功能描述

运行受支持的Windows版本的计算机可以通过相互关联的身份验证和授权机制来控制系统和网络资源的使用。用户通过身份验证后，Windows操作系统使用内置授权和访问控制技术来实现保护资源的第二阶段：确定经过身份验证的用户是否具有访问资源的正确权限。

共享资源可供除资源所有者以外的用户和组使用，并且需要保护它们以防止未经授权的使用。在访问控制模型中，用户和组（也称为安全主体）由唯一安全标识符（SID）表示。为他们分配权限和权限，通知操作系统每个用户和组可以执行的操作。每个资源都有一个授予安全主体权限的所有者。在访问控制检查期间，将检查这些权限以确定哪些安全主体可以访问资源以及如何访问它。

安全主体对对象执行操作（包括读取，写入，修改或完全控制）。对象包括文件，文件夹，打印机，注册表项和Active Directory域服务（AD DS）对象。共享资源使用访问控制列表（ACL）来分配权限。这使资源管理器能够通过以下方式实施访问控制：

• 拒绝访问未经授权的用户和组

• 为提供给授权用户和组的访问设置明确定义的限制

对象所有者通常向安全组而不是单个用户授予权限。添加到现有组的用户和计算机将承担该组的权限。如果对象（例如文件夹）可以容纳其他对象（例如子文件夹和文件），则称其为容器。在对象层次结构中，容器与其内容之间的关系通过将容器称为父容器来表示。容器中的对象称为子对象，子对象继承父对象的访问控制设置。对象所有者通常为容器对象而不是单个子对象定义权限，以简化访问控制管理。

此内容集包含：

• 动态访问控制概述

• 安全标识符技术概述

• 安全主体技术概述

• 本地帐户

• Active Directory帐户

• Microsoft帐户

• 服务帐户

• Active Directory安全组

实际应用

使用受支持的Windows版本的管理员可以优化对对象和主题的访问控制的应用程序和管理，以提供以下安全性：

• 保护更多数量和种类的网络资源免遭滥用。

• 为用户提供以与组织策略及其作业要求一致的方式访问资源。

• 使用户能够从多个位置的各种设备访问资源。

• 随着组织的策略更改或用户的工作更改，更新用户定期访问资源的能力。

• 考虑到越来越多的使用场景（例如从远程位置或从快速扩展的各种设备（例如平板电脑和移动电话）访问）。

• 当合法用户无法访问执行其工作所需的资源时，识别并解决访问问题。

权限

权限定义授予对象或对象属性的用户或组的访问类型。例如，可以为Finance组授予名为Payroll.dat的文件的读写权限。

通过使用访问控制用户界面，您可以为对象（如文件，Active Directory对象，注册表对象或系统对象（如进程））设置NTFS权限。权限可以授予任何用户，组或计算机。为组分配权限是一种很好的做法，因为它可以在验证对象的访问权限时提高系统性能。

对于任何对象，您可以授予以下权限：

• 域中具有安全标识符的组，用户和其他对象。

• 该域和任何受信任域中的组和用户。

• 对象所在的计算机上的本地组和用户。

附加到对象的权限取决于对象的类型。例如，可以附加到文件的权限与可以附加到注册表项的权限不同。但是，某些权限对于大多数类型的对象是通用的。这些常见权限是：

• 读

• 修改

• 改变所有者

• 删除

设置权限时，可以指定组和用户的访问级别。例如，您可以让一个用户读取文件的内容，让另一个用户更改文件，并阻止所有其他用户访问该文件。您可以在打印机上设置类似的权限，以便某些用户可以配置打印机，而其他用户只能打印。

当您需要更改文件的权限时，可以运行Windows资源管理器，右键单击文件名，然后单击“ 属性”。在“ 安全”选项卡上，您可以更改文件的权限。有关更多信息，请参阅管理权限。

 注意

另一种权限称为共享权限，在文件夹的“ 属性”页面的“共享”选项卡上或使用“共享文件夹向导”设置。有关更多信息，请参阅文件服务器上的共享和NTFS权限。

对象的所有权

创建该对象时，会将所有者分配给对象。默认情况下，所有者是对象的创建者。无论在对象上设置了什么权限，对象的所有者都可以随时更改权限。有关更多信息，请参阅管理对象所有权。

权限的继承

继承允许管理员轻松分配和管理权限。此功能会自动使容器中的对象继承该容器的所有可继承权限。例如，文件夹中的文件继承该文件夹的权限。仅继承标记为要继承的权限。

用户权利

用户权限授予计算环境中用户和组的特定权限和登录权限。管理员可以为组帐户或单个用户帐户分配特定权限。这些权限授权用户执行特定操作，例如以交互方式登录系统或备份文件和目录。

用户权限与权限不同，因为用户权限适用于用户帐户，权限与对象相关联。虽然用户权限可以应用于单个用户帐户，但最好以组帐户为基础管理用户权限。访问控制用户界面中不支持授予用户权限。但是，可以通过“ 本地安全设置”管理用户权限分配。

有关用户权限的更多信息，请参阅用户权限分配。

对象审计

使用管理员权限，您可以审核用户对对象的成功或失败访问。您可以使用访问控制用户界面选择要审核的对象访问权限，但首先必须通过在“ 本地安全设置”中的“ 本地策略”下选择“ 审核对象访问”来启用审核策略。然后，您可以在事件查看器的安全日志中查看这些与安全相关的事件。