Загальні ресурси доступні користувачам і групам крім власника ресурсу, і вони повинні бути захищені від несанкціонованого використання. У модель управління доступом користувачів і груп (також відомої як суб'єкти безпеки) представлені унікальними ідентифікаторами безпеки (SID). Вони призначаються права і дозволу, які повідомляють операційній системі, що може робити кожного користувача і групи. У кожного ресурсу є свій власник, який видає дозволи суб'єктам безпеки. В ході перевірки управління доступом ці дозволи розглядаються для визначення того, які суб'єкти безпеки можуть отримувати доступ до ресурсу і яким чином.
Суб'єкти безпеки виконують дії (включаючи читання, запис, зміна або повний доступ) для об'єктів. У число об'єктів входять файли, папки, принтери, ключі реєстру і об'єкти доменних служб Active Directory (AD DS). Загальні ресурси використовують списки управління доступом (ACL) для призначення дозволів. Це дозволяє диспетчерам ресурсів реалізовувати управління доступом наступними способами:
Власники об'єктів зазвичай надають дозволи групам безпеки, а не окремим користувачам. Користувачі і комп'ютери, що додаються до існуючих груп, користуються дозволами відповідної групи. Якщо об'єкт (скажімо, папка) може містити інші об'єкти (скажімо, вкладені папки і файли), він іменується контейнером. В ієрархії об'єктів, звернувшись до контейнера як батьківський виражається зв'язок між контейнером і його вміст. Об'єкт в контейнері згадується як дочірній і дочірні успадковує параметри управління доступом батьківського об'єкта. Власники об'єктів часто визначають дозволу для об'єктів контейнерів замість окремих дочірніх об'єктів, щоб спростити управління доступом.
Містить цей набір вмісту:
Адміністраторам, які використовують підтримувану версію Windows можна уточнити додатки і управління доступом до об'єктів і суб'єктів для забезпечення безпеки:
Захист більшого числа і спектра мережевих ресурсів від зловживань.
Підготовка користувачів для доступу до ресурсів, таким чином, відповідає політикам організації та вимоги до їх роботи.
Надати їм доступ до ресурсів з широкого спектру пристроїв в різних розташуваннях.
Оновлення можливості користувачів для доступу до ресурсів на регулярній основі, як зміна політики організації або зміні завдання користувачів.
Визначення та вирішення проблем доступу, коли правомочні користувачі не в змозі отримати доступ до ресурсів, які необхідні їм для виконання роботи.
Дозволи визначають тип доступу, який надається для користувача або групи для об'єкта або властивості об'єкта. Наприклад групи "Фінанси" можуть надаватися дозволи на читання і запис для файлу з ім'ям Payroll.dat.
За допомогою призначеного для користувача інтерфейсу управління доступом, можна встановити дозволу NTFS для об'єктів, таких як файли, об'єкти Active Directory, об'єкти реєстру або системні об'єкти, наприклад процеси. Дозволи можуть надаватися для будь-якого користувача, групи або комп'ютера. Рекомендується призначати дозволу групам, так як вона підвищує продуктивність системи при перевірці прав доступу до об'єкта.
Для будь-якого об'єкта можна надати дозволи:
Групи користувачів та іншим об'єктам з ідентифікаторами безпеки в домені.
Групи і користувачі в цьому домені і будь-якого довіреної домену;
Локальним групам і користувачам на комп'ютері, де знаходиться об'єкт.
Дозволи, призначені об'єкту залежать від типу об'єкта. Наприклад дозволу, які можна додати в файл, відрізняються від тих, які можна підключити до розділу реєстру. Однак деякі дозволу є загальними для більшості типів об'єктів. Ці загальні дозволу перераховані нижче.
При необхідності змініть дозволу для файлу, можна запустити провідник, клацніть правою кнопкою миші ім'я файлу і натисніть кнопку Властивості. На безпеки вкладці можна змінити дозволу для файлу. Додаткові відомості див. У розділі управління дозволами.
Інший тип дозволів, дозволу для загального ресурсу задається на вкладці Загальний доступ до папки Властивості сторінки або за допомогою майстра загальних папок. Додаткові відомості див. Загального ресурсу і дозволу NTFS на файловому сервері.