De fiecare dată când utilizatorul se conectează, sistemul creează un jeton de acces pentru acel utilizator. Indicele de acces conține codul de securitate al utilizatorului, drepturile utilizatorului și codurile de securitate pentru grupurile din care aparține utilizatorul. Acest token oferă un context de securitate pentru acțiunile pe care orice utilizator le efectuează pe acel computer.
În plus față de identificatorii de securitate ai domeniului creați în mod unic, alocați utilizatorilor și grupurilor specifice, există coduri de securitate cunoscute, identificare universală a utilizatorilor și grupuri universale. De exemplu, totul și SID-urile din lume definesc un grup care include toți utilizatorii. Identificatorii de securitate cunoscuți au valori care rămân constante în toate sistemele de operare.
Indicele de acces este un obiect sigur care conține informații de identificare și drepturi de utilizator asociate contului de utilizator.
Când utilizatorul se loghează interactiv sau încearcă să creeze o conexiune de rețea la un computer Windows, procesul de autentificare autentifică acreditările utilizatorului. După verificarea cu succes, procesul returnează un ID de securitate pentru utilizator și o listă de identificatori de securitate pentru grupul de securitate al utilizatorului. Administratorul local de securitate (LSA) de pe computer utilizează aceste informații pentru a crea un jeton de acces (în acest caz, simbolul de acces). Acestea includ SID-urile, procesul de conectare returnat și lista drepturilor de utilizator atribuite politicii locale de securitate pentru utilizator și grupul de securitate al utilizatorului.
După LSA creează un indicativ de acces atașat o copie a token-ul de acces pentru fiecare flux, iar procesul care rulează în numele utilizatorului. De fiecare dată când un fir sau un proces interacționează cu obiectul care urmează să fie protejate, sau încercări pentru a realiza o sarcină de sistem care necesită utilizatorul potrivit, sistemul de operare verifică token-ul de securitate asociat cu flux pentru a determina nivelul de autentificare.
Există două tipuri de jetoane de acces, de bază și de impersonare. Fiecare proces are un jeton principal care descrie contextul de securitate al contului de utilizator care este asociat cu procesul. Un jet de acces este, de obicei, alocat unui proces care să reprezinte informațiile de securitate implicite pentru acest proces. Pe de altă parte, jetoanele de confuzie sunt utilizate în mod obișnuit pentru script-urile client și server. Simbolurile de identificare includ un fir de execuție într-un context de securitate diferit de cel în care aparține fluxul de context de securitate.
Un descriptor de securitate este o structură de date asociată cu fiecare obiect protejat. Toate obiectele din Active Directory și toate obiectele protejate de pe computerul local sau de rețea au descriptori de securitate pentru controlul accesului la obiecte. Descriptorii de securitate includ date despre cine este proprietarul obiectului care are acces și cum și ce tipuri de acces sunt supuse auditului. Descriptorii de securitate conțin o listă de control al accesului pentru obiecte (ACL) care include toate permisiunile de securitate care se aplică acestui obiect. Descriptorul de securitate al obiectului poate conține două tipuri de ACL:
O listă a ACCESS CONTROL care identifică utilizatorii și grupurile cărora le este permis sau refuzat accesul
Un sistem de control al accesului (SACL) care determină modul în care este efectuat un audit de acces
Puteți utiliza un model de control al accesului pentru a proteja individual, obiecte și atribute, cum ar fi fișiere și directoare, obiecte Active Directory, chei de registry, imprimante, dispozitive, porturi, servicii, procese și fire. Din cauza acestui control unic, puteți configura securitatea obiectelor pentru a satisface nevoile organizației, a delega autoritatea obiectelor sau a atributelor și a crea obiecte personalizate sau atribute care necesită o protecție unică definită.
Permisiunile permit proprietarului fiecărui obiect protejat, cum ar fi un fișier, un obiect sau registru Active Directory, să controleze cine poate efectua operațiuni sau un set de operații într-un obiect sau proprietate a obiectului. Permisiunile sunt înregistrări de control al accesului (ACE) în arhitectura de securitate. Deoarece accesul la obiect în funcție de proprietarul obiectului, tipul de control al accesului utilizat în Windows se numește control al accesului.
Pe calculatoare, drepturile utilizatorilor permit administratorilor să controleze cine are dreptul de a efectua operațiuni care afectează întregul computer, mai degrabă decât un anumit obiect. Administratorii atribuie drepturi de acces utilizatorilor sau grupurilor individuale, ca parte a setărilor de securitate pentru computer. Deși drepturile utilizatorilor pot fi gestionate la nivel central prin politica de grup, acestea sunt aplicate la nivel local. Utilizatorii pot (și de obicei) să aibă diferite drepturi de utilizator pe diferite computere.
Informații despre utilizator, ce drepturi sunt disponibile și modul în care sunt implementate în secțiunea Atribuirea drepturilor de utilizator.
În utilizatorul, serviciul, grupul sau computerul Windows, puteți iniția acțiunea ca principal de securitate. Directorii de securitate au conturi care pot fi locale pentru computer sau domeniu. De exemplu, intrarea în domeniul computerelor client Windows poate participa în domeniul rețelei, comunicând cu controlerul de domeniu, chiar dacă utilizatorul nu sa conectat.
Inițiați schimbul de date, calculatorul trebuie să aibă un cont activ în domeniu. Înainte de a accepta conexiunile de la computer, administratorul local de securitate de pe controlerul de domeniu verifică autenticitatea identității computerului și apoi determină contextul de securitate al calculatorului, ca și cum ar fi pentru principalul de securitate al utilizatorului.
context de securitate definește identitatea și capacitatea utilizatorului de a veni sau pentru un anumit calculator sau utilizator, serviciu, de grup, sau un computer în rețea. De exemplu, determină resurse (cum ar fi un director partajat sau imprimantă), care pot fi efectuate și acțiunile (de exemplu, citire, scriere sau modificare), care pot fi executate de către utilizator, serviciul sau computerul pe această resursă.
Contextul de securitate al unui utilizator sau al unui computer poate varia de la un computer la altul, de exemplu, când autentificați un utilizator pe un server sau o altă stație de lucru decât stația de lucru principală a utilizatorului. De asemenea, se poate schimba de la o sesiune la alta, de exemplu, atunci când administratorul modifică drepturile și permisiunile utilizatorului. În plus, contextul de securitate diferă, de obicei, dacă utilizatorul sau computerul rulează separat, într-un domeniu de rețea mixt sau ca parte a unui domeniu Active Directory.
Conturile și grupurile de securitate create în domeniul Active Directory sunt stocate în baza de date Active Directory și gestionate utilizând instrumentele Active Directory. Aceste principii de securitate sunt obiecte de catalog și pot fi folosite pentru a controla accesul la resursele de domeniu.
Conturile locale ale utilizatorilor și ale contului de securitate sunt create pe computerul local și pot fi utilizate pentru a controla accesul la resursele de pe acest computer. Conturile de conturi de utilizator și conturi de securitate locale sunt stocate în și gestionate de Managerul conturilor de securitate (SAM) de pe computerul local.
Audiți acțiunile efectuate pentru contul de utilizator.
Sistemele de operare Windows și Windows Server, au conturi de utilizator încorporate sau puteți crea conturi de utilizatori în funcție de cerințele organizației dvs.
Un grup de securitate este o colecție de conturi de utilizator, conturi de computer și alte grupuri de conturi care pot fi gestionate în ansamblu dintr-o perspectivă de securitate. În sistemele de operare Windows, există mai multe grupuri de securitate încorporate care sunt configurate cu drepturile și permisiunile corespunzătoare pentru a efectua anumite sarcini. În plus, puteți (și de obicei va) crea un grup de securitate pentru fiecare combinație unică de cerințe de securitate aplicate mai multor utilizatori din organizație.
Grupurile pot fi bazate pe Active Directory sau pe un computer local:
Grupurile de securitate Active Directory sunt utilizate pentru a gestiona drepturile și permisiunile pentru resursele domeniului.
Grupurile locale există în baza de date SAM a computerului local (pe computerele care rulează Windows), cu excepția controlorilor de domeniu. Utilizați grupuri locale pentru a administra drepturi și permisiuni numai la resursele de pe computerul local.
Cu grupurile de securitate pentru controlul accesului, puteți:
Simplificați administrarea. Un set comun de permisiuni, un set comun de permisiuni și / sau mai multe conturi pot fi atribuite o dată, în loc să le alocați individual pentru fiecare cont. În plus, atunci când utilizatorii transferă locuri de muncă sau părăsesc organizația, permisiunile nu sunt legate de conturile lor de utilizator, simplificând realocarea sau ștergerea.
Modelul de control al accesului este o implementare bazată pe rol. Acest model poate fi utilizat pentru a acorda permisiuni utilizând grupuri care folosesc diferite zone pentru a se potrivi. Zonele disponibile în Windows includ domeniul local, global, local și universal.
Reducerea mărimii listelor de control al accesului (ACL) și accelerarea verificărilor de securitate. Grupul de securitate are propriul identificator de securitate; În acest fel, puteți utiliza grupul SID pentru a seta permisiunile pentru o resursă. Într-un mediu cu mai multe mii de utilizatori În cazul în care identificatorii de securitate de conturi de utilizator individuale, care sunt utilizate pentru a indica accesul la resursa, ACL resursei poate deveni prea mare, iar timpul necesar pentru ca sistemul să verifice permisiunile pe resursa poate deveni inacceptabilă.
Pentru descrierile și informațiile de securitate ale grupului de domenii care sunt definite în Active Directory, consultați grupurile de securitate Active Directory.
Descrierile și detaliile grupului sunt speciale, a se vedea grupurile speciale.