Als Zugriffssteuerung wird das Autorisieren von Benutzern, Gruppen und Computern für den Zugriff auf Objekte im Netzwerk oder auf einem Computer bezeichnet.

Sie müssen die Beziehung zwischen folgenden Elementen verstehen, um die Zugriffssteuerung zu verstehen und zu verwalten:

  • Objekte (Dateien, Drucker und Weitere Verweise)

  • Zugriffstoken

  • Zugriffssteuerungslisten (Access Control Lists, ACLs) und Zugriffssteuerungseinträge (Access Control Entries, ACEs)

  • Subjekte (Benutzer oder Anwendungen)

  • Betriebssystem

  • Berechtigungen

  • Benutzerrechte und -berechtigungen

Bevor ein Subjekt Zugriff auf ein Objekt erlangen kann, muss das Subjekt anhand des Sicherheitssubsystems für das Betriebssystem identifiziert werden. Diese Identität ist in einem Zugriffstoken enthalten, das immer dann neu erstellt wird, wenn sich ein Subjekt anmeldet. Bevor zugelassen wird, dass das Subjekt auf ein Objekt zugreift, wird vom Betriebssystem überprüft, ob das Zugriffstoken für das Subjekt autorisiert ist, auf das Objekt zuzugreifen und die gewünschte Aufgabe auszuführen. Zu diesem Zweck werden Informationen im Zugriffstoken mit Zugriffssteuerungseinträgen für das Objekt verglichen.

Mit ACEs kann in Abhängigkeit vom Objekttyp unterschiedliches Verhalten zugelassen oder verweigert werden. Zu den Optionen für ein Dateiobjekt können beispielsweise Lesen, Schreiben und Ausführen zählen. Für einen Drucker lauten die verfügbaren ACEs Drucken, Drucker verwalten und Dokumente verwalten.

Einzelne ACEs für ein Objekt werden in einer Zugriffssteuerungsliste kombiniert. Im Sicherheitssubsystem wird die ACL des Objekts auf ACEs überprüft, die für den Benutzer und die Gruppen, denen der Benutzer angehört, gelten. Dabei wird jeder ACE behandelt, bis ein ACE gefunden wird, mit dem einem Benutzer oder einer der Gruppen des Benutzers der Zugriff erlaubt oder verweigert wird, oder bis keine weiteren zu überprüfenden ACEs vorhanden sind. Wenn das Ende der ACL erreicht wird und der gewünschte Zugriff auch dann noch nicht explizit zugelassen oder verweigert wird, wird der Zugriff auf das Objekt durch das Sicherheitssubsystem verweigert.

Berechtigungen

Mithilfe von Berechtigungen wird der einem Benutzer oder einer Gruppe gewährte Zugriff auf ein Objekt oder eine Objekteigenschaft festgelegt. Der Gruppe Finanzen können z. B. die Berechtigungen Lesen und Schreiben für eine Datei mit der Bezeichnung Gehaltsabrechnung.dat zugewiesen werden.

Mithilfe der Benutzeroberfläche für die Zugriffssteuerung können Sie NTFS-Berechtigungen für Objekte wie Dateien, Active Directory-Objekte, Registrierungsobjekte oder Systemobjekte (z. B. Prozesse) festlegen. Berechtigungen können jedem Benutzer, jeder Gruppe oder jedem Computer gewährt werden. Das Zuweisen von Berechtigungen für Gruppen ist empfehlenswert, da es die Systemleistung beim Überprüfen des Zugriffs auf ein Objekt verbessert.

Sie können für alle Objekte folgende Berechtigungen erteilen:

  • Gruppen, Benutzern und Sicherheitskennungen in der Domäne.

  • Gruppen und Benutzern in dieser Domäne und allen vertrauenswürdigen Domänen

  • lokalen Gruppen und Benutzern auf dem Computer, auf dem sich das Objekt befindet

Welche Berechtigungen einem Objekt angefügt werden können, hängt vom Objekttyp ab. Einer Datei können z. B. andere Berechtigungen zugewiesen werden als einem Registrierungsschlüssel. Einige Berechtigungen können jedoch fast allen Objekttypen zugewiesen werden. Dies sind folgende Berechtigungen:

  • Lesen

  • Ändern

  • Eigentümer ändern

  • Löschen

Beim Festlegen einer Berechtigung geben Sie die Zugriffsberechtigungen für Gruppen und Benutzer an. Zum Beispiel können Sie einen bestimmten Benutzer den Inhalt einer Datei nur lesen lassen, einen anderen Benutzer die Datei lesen und ändern lassen, und allen anderen Benutzern den Dateizugriff verwehren. Sie können diese Berechtigungen in ähnlicher Form für Drucker festlegen, sodass nur bestimmte Benutzer den Drucker konfigurieren können, während andere Benutzer lediglich Ausdrucke vornehmen können.

Starten Sie z. B. zum Ändern der Berechtigungen für eine Datei Windows-Explorer, klicken Sie mit der rechten Maustaste auf den Dateinamen, und klicken Sie dann auf Eigenschaften. Auf der Registerkarte Sicherheit können Sie die Berechtigungen für die Datei ändern. Weitere Informationen finden Sie unter Verwalten von Berechtigungen.

Hinweis

Eine andere Art von Berechtigungen, sogenannte Freigabeberechtigungen, werden auf der Seite Eigenschaften eines Ordners auf der Registerkarte Freigabe oder mithilfe des Assistenten zum Erstellen von Ordnerfreigaben festgelegt. Weitere Informationen finden Sie unter Freigabe- und NTFS-Berechtigungen auf einem Dateiserver.

Besitzrechte für Objekte

Jedem Objekt wird beim Erstellen ein Besitzer zugewiesen. Dies ist in der Standardeinstellung die Person, die das Objekt erstellt hat. Unabhängig von den für ein Objekt festgelegten Berechtigungen kann der Besitzer des Objekts diese Berechtigungen jederzeit ändern. Weitere Informationen finden Sie unter Verwalten des Besitzes von Objekten.

Vererbung von Berechtigungen

Mithilfe der Vererbung können Administratoren Berechtigungen einfach zuweisen und verwalten. Durch diese Funktion erben Objekte in einem Container alle vererbbaren Berechtigungen des Containers. Beispielsweise werden beim Erstellen einer Datei in einem Ordner die für den Ordner angegebenen Berechtigungen auf diese Datei übertragen. Nur Berechtigungen, die als erbbar gekennzeichnet sind, werden geerbt.

Benutzerrechte und -berechtigungen

Durch Benutzerrechte erhalten Benutzer und Gruppen innerhalb der Computerumgebung spezielle Privilegien und Anmelderechte. Administratoren können Gruppenkonten oder einzelnen Benutzerkonten bestimmte Rechte zuweisen. Durch das Zuweisen dieser Rechte wird Benutzern das Ausführen bestimmter Aktionen gestattet, beispielsweise die interaktive Anmeldung an einem System oder das Sichern von Dateien und Verzeichnissen.

Benutzerrechte werden im Unterschied zu Berechtigungen nicht einzelnen Objekten angefügt, sondern für einzelne Benutzerkonten festgelegt. Obwohl Benutzerrechte durchaus einzelnen Benutzerkonten zugewiesen werden können, sollten sie am besten auf der Ebene von Gruppenkonten verwaltet werden. Auf der Benutzeroberfläche für die Zugriffssteuerung wird das Erteilen von Benutzerrechten nicht unterstützt. Die Zuweisung von Benutzerrechten kann jedoch über das Snap-In Lokale Sicherheitsrichtlinie unter Lokale Richtlinien/Zuweisen von Benutzerrechten verwaltet werden. Weitere Informationen finden Sie unter Benutzerrechte und -berechtigungen.

Objektüberwachung

Mit Administratorrechten können Sie erfolgreiche oder fehlerhafte Zugriffsversuche auf Objekte seitens der Benutzer überwachen. Sie können auf der Benutzeroberfläche für die Zugriffssteuerung auswählen, welcher Objektzugriff überwacht werden soll, Sie müssen jedoch zunächst die Überwachungsrichtlinie aktivieren, indem Sie im Snap-In Lokale Sicherheitsrichtlinie unter Lokale Richtlinie/Überwachungsrichtlinie/Lokale Richtlinien die Option Objektzugriffsversuche überwachen auswählen. Anschließend können Sie diese sicherheitsbezogenen Ereignisse im Sicherheitsprotokoll der Ereignisanzeige anzeigen.

Weitere Verweise

  • Weitere Informationen (möglicherweise in englischer Sprache) zur Autorisierung und Zugriffssteuerung finden Sie unter Windows Security Collection (https://go.microsoft.com/fwlink/?LinkId=4565).

  • Informationen (möglicherweise in englischer Sprache) zur Autorisierungsstrategie finden Sie unter Entwurf einer Ressourcenautorisierungsstrategie (https://go.microsoft.com/fwlink/?LinkId=4734).

Inhaltsverzeichnis