Всеки път, когато даден потребител в системата създава означение за достъп за потребителя. Означението за достъп съдържа SID на потребителя, потребителски права и идентификационните номера на сигурност за групи, които потребителят принадлежи. Този маркер осигурява условия на сигурност за действията на каквито и да било потребител извършва на компютъра.
В допълнение към уникално изработени, идентификатори за сигурност домейн възложени конкретни потребители и групи, има известни кодове за сигурност, идентификация на потребителите на универсални и универсални групи. Такива като СИД и целият свят да се определи група включва всички потребители. Известни идентификатори за сигурност имат стойности, които остават постоянно за всички операционни системи.
Означението за достъп е защитен обект, който съдържа информация за правата за идентификация и потребителски, свързани с потребителски акаунт.
Когато един потребител се регистрира в интерактивно, или се опитва да създаде мрежова връзка с компютър, работещ под Windows, процесът на влизане удостоверява пълномощията на потребителя. При успешно процес проверка се връща идентификатор на сигурност за потребителите, както и списък на SIDS за група за сигурност на потребителя. Орган Local Security (LSA) на компютър използва тази информация, за да създадете означение за достъп (в този случай, означението за достъп). Това включва идентификатор на SID, върнати от процеса на влизане, както и списък на правата на потребителите, предоставени в местната политика за сигурност за потребителя и групата за сигурност на потребителя.
След LSA създава означение за достъп прилага копие от означението за достъп за всеки поток, както и процесът, който работи от името на потребителя. Всеки път, когато нишка или процес взаимодейства с обекта, за да бъдат защитени, или се опитва да извърши дадена задача система, която изисква точния потребител, операционната система проверява означението за сигурност, свързани с потока, за да се определи нивото на удостоверяване.
Има два вида на жетони за сигурност, основно и под чужда самоличност. Всеки процес разполага с основен знак, който описва контекста на сигурността на потребителски акаунт, който е свързан с процеса. достъп знак, като правило, процесът на определяне на информацията за сигурност на изглед по подразбиране за този процес. От друга страна, превъплъщенията маркери обикновено се използват за клиента и сървъра сценарии. Маркерите са под чужда самоличност конец за изпълнение в контекста на сигурността, която е различна от процеса, който е собственик контекста на сигурността на движението.
дескриптор сигурност е структура от данни, свързани с всеки обект, за да бъдат защитени. Всички обекти в Active Directory, както и всички ограничаеми обекти на локален компютър или в мрежата имат описания за сигурност, за да контролират достъпа до обекти. описания за сигурност включват информация за това кой е собственик на обекта, който има достъп до, и по какъв начин и какви видове достъп, са одитирани. описания за сигурност съдържат списък за контрол на достъпа (ACL) на обекта, което включва всички разрешения за сигурност, които се прилагат за този обект. дескриптор за защита на обекта може да съдържа два вида ACL:
списък за контрол на достъпа, който определя потребителите и групите, които са разрешени или отказан достъп
система за контрол на достъпа (Sacl), който определя как одит на достъп
Можете да използвате модела за контрол на достъпа за защита на отделните обекти и атрибути, като например файлове и папки, Directory обекти Активни, ключове в регистъра, принтери, устройства, пристанища, услуги, процеси и нишки. Поради тази единствена контрол може да бъде конфигуриран да отговарят на сигурността на нуждите на организацията, делегиране предмети или атрибути, както и създаване на собствени обекти или атрибути, които изискват уникална защита се определя.
Разрешителните позволяват на собственика на всеки защитен обект, като например файл, директория обект Active или регистър, за да контролирате кой може да направи операция или набор от операции с даден обект или обект собственост. Разрешения са достъп влизане контрол (ACE) в архитектурата на сигурността. Тъй като достъпът до съоръжението в съответствие със собственика на обекта, от типа на контрол на достъпа, която се използва в Windows се нарича контрол на достъпа.
На компютри потребителски права позволяват на администраторите да контролират кой има право да извършва операции, които засягат целия компютър, а не конкретен обект. Администраторите задават права за достъп до отделните потребители или групи, като част от настройките за защита на компютъра. Въпреки факта, че правата на потребителя, може да се управляват централизирано чрез Group Policy, те се прилагат на местно ниво. Потребителите могат (и обикновено) имат различни права на потребителите на различни компютри.
информация за потребителя, това, което са на разположение на човека и как те се прилагат в Заданието за правата на потребителя раздел.
Като потребител на Windows, сервиз, група или компютър, можете да започне действието е основна гаранция. директори по сигурността са сметки, които могат да бъдат локални за компютъра или домейна. Така например в рамките на домейна на Windows клиентски компютри могат да участват в мрежов домейн чрез свързване към контролер на домейн, дори ако потребителят не е влязъл.
Иницииране на комуникация, компютърът трябва да има активен профил в домейна. Преди да направи връзката от компютъра, LSA на домейн контролер удостоверява сертификат на компютъра и след това определя контекста на компютърната сигурност, като че ли за безопасността на страната членка потребител.
контекст на сигурността определя самоличността и способността на потребителя да обслужва или за конкретен компютър или потребител услуга, група или компютър в мрежата. Например определя ресурси (като споделена папка или принтер), който може да се извърши и действията (например, четене, писане или промяна), които могат да се извършат от потребителя, услугата или компютъра на този ресурс.
контекст на сигурността на потребителя, или на компютъра, може да варира от един компютър на друг, като удостоверяване на потребителя на сървър или работна станция, различни от работна станция на основния потребител. Тя може да варира от една сесия в друга, например, когато администраторът променя правата и потребителски разрешения. В допълнение контекста на сигурността обикновено е различно, ако потребителят или компютърът работи отделно, в смесена мрежа домейн или като част от домейн Active Directory.
Сметки и групи за защита, които са създадени в областта на Active Directory се съхраняват в базата данни на Active Directory и управлявани с помощта на инструменти на Active Directory. Тези принципи за сигурност са директория обекти, и те могат да се използват за достъп до управлението на домейни ресурси.
Местните потребителски акаунти и групи за сигурност са създадени на локалния компютър, и те могат да се използват за контрол на достъп до ресурси на този компютър. Местните потребителски акаунти и групи за защита се съхраняват в и управлявани от управителя на сигурност сметки (SAM) на локалния компютър.
Одитните дейности, които се извършват за сметка на потребителя.
Windows и Windows Server операционни системи, са вградени в потребителски акаунти, или можете да създавате потребителски профили, в съответствие с изискванията на вашата организация.
Група сигурност - колекция от потребителски акаунти, компютърни сметки и други сметки на групата, които могат да бъдат управлявани като едно цяло от гледна точка на сигурността. На операционни системи Windows, има няколко вградени в групи за сигурност, които са конфигурирани със съответните права и разрешения за извършване на определени задачи. В допълнение, можете да (и обикновено) се създаде група за сигурност за всеки уникално съчетание на изискванията за безопасност, прилагани към множество потребители във вашата организация.
Групи могат да се основават на Active Directory или локален компютър:
Активни групи за защита Directory се използват за управление на правата на домейни ресурси и разрешения.
Местните групи съществуват в базата данни SAM на локалния компютър (на компютри с Windows), с изключение на домейн контролери. Използвайте местни групи за контрол на правата и разрешения само за ресурсите на локалния компютър.
С помощта на групи за защита за контрол на достъпа, можете да:
Опростете администрация. Общ набор от права, общ набор от права и / или няколко профила, можете да зададете време, вместо да им бъде дадено отделно за всяка сметка. В допълнение, когато потребителите да прехвърлят работни места или оставя на организацията, разрешенията са не са обвързани с техните потребителски акаунти, което го прави по-лесно да прехвърлите разрешения или изтриете.
Модел изпълнение достъп на управлението роля основа. Този модел може да се използва за предоставяне на разрешения с групи с различни области, за да се присвои. Области на разположение в Windows включват домейна местни, световни, местни и универсални.
Намаляване на размера на списъци за контрол на достъпа (ACL) и ускоряване на проверки за сигурност. Групата за сигурност разполага със собствен идентификатор сигурност; Така SID група може да се използва за задаване на разрешения за ресурса. В среда с няколко хиляди потребители Ако идентификатори за сигурност на отделни потребителски акаунти, които се използват за обозначаване на достъпа до ресурса, на ACL на ресурса могат да станат твърде големи, и времето, необходимо за системата време за проверка на разрешенията за ресурса може да стане неприемливо.
Описания и информация за групи за защита на домейн, определени в Active Directory, виж. В раздел активните групи за сигурност директория.
Описания и информация за групата, вижте специалното. Специална група.
Свързани статии