Кожен раз, коли користувач виконує вхід, система створює маркер доступу для цього користувача. Маркер доступу містить ідентифікатор безпеки користувача, права користувачів і ідентифікатори безпеки для груп, до яких належить користувач. Цей маркер надає контекст безпеки для дій, будь-який користувач виконує на цьому комп'ютері.
Крім однозначно створений, доменний ідентифікатори безпеки, призначених для певних користувачів і груп існують відомі коди безпеки, ідентифікації універсального користувачів і універсальних груп. Наприклад всі і ідентифікатори SID світі визначати групи включає всіх користувачів. Відомі ідентифікатори безпеки мають значення, які залишаються постійними у всіх операційних системах.
Маркер доступу є захищеним об'єктом, який містить відомості про ідентифікацію та прав користувача, пов'язані з обліковим записом користувача.
Коли користувач входить в інтерактивному режимі або намагається встановити з'єднання з мережею до комп'ютера під керуванням Windows, процес входу виконує перевірку автентичності облікових даних користувача. При успішній перевірці процес повертає ідентифікатор безпеки для користувача і списку ідентифікаторів безпеки для групи безпеки користувача. Локального адміністратора безпеки (LSA) на комп'ютері, використовує ці відомості для створення маркера доступу (в даному випадку маркер доступу). Сюди входять ідентифікатори SID, повернута процес входу в систему і список прав користувачів, призначених в локальній політиці безпеки для користувача і групи безпеки користувача.
Після LSA створює маркер доступу, приєднується копію маркер доступу для кожного потоку і процесу, який виконується від імені користувача. Кожен раз, коли потік або процес взаємодіє з захищається або намагається виконати системну задачу, яка вимагає прав користувача, операційна система перевіряє маркер доступу, пов'язаний з потоком, щоб визначити рівень перевірки автентичності.
Існує два типи маркерів доступу, основний і уособлення. Кожен процес має основний маркер, що описує контекст безпеки облікового запису користувача, який пов'язаний з процесом. Маркер доступу, як правило, присвоєний процесу для подання відомостей безпеки за замовчуванням для цього процесу. З іншого боку, маркери уособлення зазвичай використовуються для клієнтських і серверних сценаріїв. Маркери уособлення включити потік для виконання в контексті безпеки, який відрізняється від процесу, якому належить потік контексту безпеки.
Дескриптор безпеки є структурою даних, пов'язаний з кожним об'єктом, що захищається. Всі об'єкти в Active Directory і все захищаються об'єкти на локальному комп'ютері або в мережі мають дескриптори безпеки для контролю доступу до об'єктів. Дескриптори безпеки включають дані про хто є власником об'єкта, який має доступ до і яким чином, і які типи доступу підлягають аудиту. Дескриптори безпеки містять список управління доступом (ACL) об'єкта, який включає всі дозволи системи безпеки, які застосовуються до цього об'єкта. Дескриптор безпеки об'єкта може містити два типи списків ACL:
Список управління ДОСТУПОМ, який визначає користувачів і групи, яким дозволений або заборонений доступ
Система контролю доступу (SACL), який визначає, як здійснюється аудит доступу
Можна використовувати модель управління доступом для захисту окремо, об'єкти і атрибути, такі як файли і папки, Active Directory об'єкти, розділи реєстру, принтери, пристрої, порти, служб, процесів і потоків. Через це окремого елемента управління можна налаштувати безпеку об'єктів для задоволення потреб організації, делегування повноважень об'єктів або атрибутів і створення об'єктів або атрибутів, які вимагають унікальних захисту визначається.
Дозволи дозволяють власника кожного об'єкта, що захищається, наприклад файлу, об'єкт Active Directory або реєстру, щоб управляти тим, хто може виконувати операції або набору операцій в об'єкт або властивість об'єкта. Дозволи є записи управління доступом (ACE) в архітектурі безпеки. Оскільки доступ до об'єкта відповідно до власником об'єкта, типом управління доступом, який використовується в Windows називається управління доступом.
На комп'ютерах права користувача дозволяють адміністраторам контролювати, хто має право виконувати операції, які впливають на весь комп'ютер, а не певного об'єкта. Адміністратори призначають права доступу до окремих користувачів або груп, як частина параметрів безпеки для комп'ютера. Незважаючи на те, що права користувача можна управляти централізовано за допомогою групової політики, вони застосовуються локально. Користувачі можуть (і зазвичай) мають різні права користувачів на різних комп'ютерах.
Відомості про користувача, які права доступні і як вони реалізовані в розділі Призначення прав користувача.
У Windows користувача, служби, групи або комп'ютера, можна ініціювати дію є учасником безпеки. Учасники безпеки мають облікові записи, які можуть бути локальними для комп'ютера або домену. Наприклад входять в домен клієнтських комп'ютерів Windows може брати участь в мережевий домен, зв'язуючись з контролером домену, навіть в тому випадку, якщо користувач не увійшов в.
Ініціювати обмін даними, комп'ютер необхідно мати активну обліковий запис в домені. Перш ніж приймати підключення від комп'ютера, локальний адміністратор безпеки на контролері домену перевіряє справжність посвідчення комп'ютера і потім визначає контекст безпеки комп'ютера, як би для учасника безпеки користувача.
Контекст безпеки визначає посвідчення і можливості користувача або служби для певного комп'ютера або користувача, служби, групи або комп'ютер в мережі. Наприклад визначає ресурси (наприклад, загальна папка або принтер), до яких може здійснюватися і дії (наприклад, читання, запис або зміна), які можуть виконуватися користувачем, служби або комп'ютера, на цей ресурс.
Контекст безпеки користувача або комп'ютера може змінюватися від одного комп'ютера на інший, наприклад, при перевірці автентичності користувача на сервері або робочої станції, відмінні від основної робочої станції користувача. Він також може змінюватися від одного сеансу на інший, наприклад, коли адміністратор змінює права та дозволи користувача. Крім того контекст безпеки зазвичай відрізняється, якщо користувач або комп'ютер працює окремо, в змішаній мережевий домен або як частина домену Active Directory.
Облікові записи та групи безпеки, які створюються в домені Active Directory зберігаються в базі даних Active Directory і управляється за допомогою засобів Active Directory. Ці учасники безпеки є об'єктами каталога, і вони можуть використовуватися для управління доступом до ресурсів домена.
Облікові записи локальних користувачів і груп безпеки створюються на локальному комп'ютері, і вони можуть використовуватися для управління доступом до ресурсів на цьому комп'ютері. Облікові записи локальних користувачів і груп безпеки зберігаються в і управляються диспетчера облікових записів безпеки (SAM) на локальному комп'ютері.
Аудит дій, які виконуються для облікового запису користувача.
Windows і операційних систем Windows Server, мають вбудовані облікові записи користувачів, або можна створити облікові записи користувачів відповідно до вимог вашої організації.
Група безпеки - це сукупність облікових записів користувачів, облікових записів комп'ютерів і інших груп облікових записів, які можуть управлятися як єдине ціле з точки зору безпеки. В операційних системах Windows існує кілька вбудованих груп безпеки, налаштовані з відповідними правами та дозволами для виконання конкретних завдань. Крім того, можна (і, як правило, буде) створіть групу безпеки для кожного унікального поєднання вимоги безпеки, які застосовуються до декільком користувачам в організації.
Групи можуть бути на основі Active Directory або локальний комп'ютер:
Групи безпеки Active Directory використовуються для управління правами та дозволами до ресурсів домена.
Локальні групи існують в базі даних SAM на локальному комп'ютері (на комп'ютерах під управлінням Windows), за винятком контролерів домену. Використовувати локальні групи для управління правами та дозволами тільки до ресурсів на локальному комп'ютері.
За допомогою груп безпеки для управління доступом, можна:
Спрощення адміністрування. Загальний набір прав, загальний набір дозволів і / або в кілька облікових записів можна призначити один раз, замість призначення їх окремо для кожного облікового запису. Крім того коли користувачам передавати завдання або йде з організації, дозволу не прив'язані до їх облікових записів користувачів, спрощуючи перепризначення дозволів або видалення.
Модель управління доступом реалізація на основі ролей. Цю модель можна використовувати для надання дозволів за допомогою груп за допомогою різних областей з метою відповідні. Області, доступні в Windows включають домену локальних, глобальних, локальних і універсальних.
Зменшення розміру списків управління доступом (ACL) і прискорити перевірку безпеки. Група безпеки має власний ідентифікатор безпеки; Таким чином SID групи можна використовувати для завдання дозволів для ресурсу. У середовищі з кількох тисяч користувачів Якщо ідентифікатори безпеки окремих облікових записів користувачів, які використовуються для вказівки на доступ до ресурсу, ACL ресурсу можуть стати занадто великими, і час, необхідний для системи перевірити дозволу на ресурс може стати неприйнятною.
Описи та техніки безпеки групи домену, певні в Active Directory див. Розділ Групи безпеки Active Directory.
Описи і відомості про групу спеціальними см. Спеціальні групи.