Windows系统中访问控制概述

访问控制概述

访问控制是批准用户、组和计算机访问网络上的对象的过程。构成访问控制的主要概念是权限、用户权利和对象审查。

权限

权限定义了授予用户或组对某个对象或对象属性的访问类型。例如，Finance 组可以被授予对名为 Payroll.dat 文件的“读取”和“写入”权限。

权限应用到任何受保护的对象，例如，文件、Active Directory® 对象或注册表对象。权限可以授予任何用户、组或计算机。好的做法是将权限指派到组。

可以将对象的权限指派到：

• 域中的组、用户和特殊标识符。
• 该域或任何受信任域中的组和用户。
• 对象所在的计算机上的本地组和用户。

附加在对象上的权限取决于对象的类型。例如，附加给文件的权限与附加给注册表项的权限不同。但是，某些权限对于大多数类型的对象都是公用的。这些公用权限有：

• 读取权限
• 修改权限
• 更改所有者
• 删除

设置权限，就是为组和用户指定访问级别。例如，您可以允许一个用户读取文件的内容，允许另一个用户修改该文件，同时防止所有其他用户访问该文件。可以在打印机上设置类似的权限，使某些用户可以配置打印机，而其他用户只能用其打印。

如果您需要更改个别对象的权限，只要启动适当的工具和更改对象的属性即可。例如，要更改文件的权限，可以启动 Windows 资源管理器，右键单击文件名，然后单击“属性”。在“安全”选项卡上，可以更改文件的权限。详细信息，请参阅权限。

对象的所有权

对象在创建时，即有一个所有者指派给该对象。所有者被默认为对象的创建者。不管为对象设置什么权限，对象的所有者总是可以更改对象的权限。详细信息，请参阅所有权。

权限的继承

继承使得管理员易于指派和管理权限。该功能自动使容器中的对象继承该容器的所有可继承权限。例如，文件夹中的文件，一经创建就继承了文件夹的权限。只继承标记为要继承的权限。

用户权利

用户权利授予计算环境中的用户和组特定的特权和登录权利。

对象审核

可以审核用户对对象的访问情况。可以使用事件查看器在安全日志中查看这些与安全相关的事件。