什麼是存取控制？概念、怎麼運作、通用術語

存取控制是一個通用術語，描述管理員如何保護對 Active Directory 中物件的存取。存取控制一詞也用於 Windows Server 和 Windows XP 平臺，以描述如何使用 NTFS 檔案系統來保護檔案和資料夾，以及如何控制共用資料夾、印表機和其他網路資源的存取。

存取控制原則

怎麼運作的

存取控制可以套用至 Active Directory 中的任何物件，但最常套用至群組或容器。目錄物件的存取控制主要是透過指派權限和權限來實作。

權限會指派給物件，以決定誰可以存取該物件，以及存取該物件的層級。權限可由管理員或物件擁有者設定。可套用的權限類型取決於所考慮的物件類型。可套用權限的一些物件包括：

• NTFS 檔案系統物件，例如檔案、資料夾和磁碟區

• 本端系統物件，例如處理程序和程式

• 本機或 Active Directory 物件，例如使用者、群組或印表機物件

繼承的問題與權限有關。將許可權指派給 NTFS 磁碟區上的資料夾時，預設情況下，資料夾內所有現有的子資料夾和檔案，以及稍後建立的任何新子資料夾或檔案也會繼承這些權限。同樣地，將權限指派給 Active Directory 中的容器時，預設情況下，容器內的所有現有子物件以及稍後建立的任何新子物件也會繼承這些權限。

權限會指派給使用者或群組帳戶，以授權他們執行特定系統工作，例如備份磁碟區、關閉系統或以互動方式登入主控台。權限通常分配給組而不是個人用戶，以簡化管理。可以在本機或網域層級指定權限。

存取控制的另一個方面是所有權問題。當使用者在 Active Directory 中建立物件或 NTFS 磁碟區上的檔案時，他或她會成為該物件或檔案的擁有者。擁有者有權設定和修改物件的權限。Active Directory 中的每個物件以及 NTFS 磁碟區上的每個檔案或資料夾都有擁有者。

存取控制的另一個方面是稽核問題。可以稽核 NTFS 磁碟區上的檔案和資料夾，以追蹤存取它們的失敗或成功。這對於偵測網路中的安全漏洞非常重要。

便條：

將權限指派給 Active Directory 中的物件時，您可以將它們指派給物件本身 （因此指派給其所有屬性） 或物件的特定屬性。例如，您可以允許所有使用者對 Active Directory 中使用者的電話號碼屬性具有讀取存取權，同時授與文書群組該屬性的讀取/寫入存取權，以便他們可以在必要時修改使用者的電話號碼。