До принципів безпеки належать такі:
Кожному принципу безпеки автоматично присвоюється ідентифікатор безпеки (SID) під час його створення. У Windows Server 2003 реєстраційні записи безпеки є основою для контролю доступу до ресурсів, що охороняються.
Облікові записи та групи безпеки, створені в домені Active Directory, є об’єктами каталогів, і їх можна використовувати для керування доступом до ресурсів домену.
Локальні облікові записи користувачів і групи безпеки створюються на локальному комп’ютері, і їх можна використовувати для керування доступом до ресурсів на цьому комп’ютері. Локальні облікові записи користувачів і групи безпеки зберігаються в диспетчері облікових записів безпеки (SAM) і керуються ним на локальному комп’ютері.
Обліковий запис користувача унікально ідентифікує особу за допомогою комп’ютерної системи, тим самим дозволяючи системі примусово надавати або забороняти доступ до ресурсів. Облікові записи користувачів можна створювати в Active Directory, а також на локальних комп’ютерах. Облікові записи користувачів використовуються для:
Крім того, дії, які здійснюються обліковим записом користувача, можуть бути перевірені.
У групах безпеки, які попередньо налаштовані з відповідними правами та дозволами на виконання конкретних завдань. Крім того, можна створити (і, як правило, буде) групу безпеки для кожної унікальної комбінації вимог безпеки, яка застосовується до кількох користувачів у вашій організації.
Групи в Active Directory використовуються для керування правами та дозволами на ресурси домену.
Локальні групи існують у базі даних SAM на локальних комп’ютерах (на всіх комп’ютерах під керуванням Windows), за винятком контролерів домену. Локальні групи використовуються для керування правами та дозволами лише на ресурси на локальному комп’ютері.
Використання груп безпеки для керування доступом вирішує такі проблеми. Використання груп безпеки:
Принципали безпеки тісно пов’язані з наведеними нижче компонентами та технологіями Windows Server 2003.
Облікові записи та групи безпеки, створені в домені Active Directory, зберігаються в базі даних Active Directory і керуються за допомогою інструментів Active Directory.
На наступній діаграмі показано процес авторизації та керування доступом Windows Server 2003. На цій діаграмі
суб’єкт (потік у процесі, ініційованому користувачем) намагається отримати доступ до об’єкта, наприклад до спільної папки. Інформація в маркері доступу користувача порівнюється із записами керування доступом (ACE) у дескрипторе безпеки об’єкта, і приймається рішення щодо доступу.
Ідентифікатори SID учасників безпеки використовуються в токені доступу користувачів і в ACE в дескрипторі безпеки об’єкта.
Заповніть форму, щоб замовити послугу по створенню сайта:
Заповніть форму та найближчим часом я з вами зв’яжуся: