Tilladelser

Tilladelser definerer, hvilken type adgang en bruger eller en gruppe skal have til et objekt eller en objektegenskab som f.eks. filer, mapper og objekter i registreringsdatabasen. Tilladelser anvendes på alle beskyttede objekter, for eksempel filer eller objekter i registreringsdatabasen. Tilladelser kan gives til enhver bruger, gruppe eller computer. Det er en god praksis at give tilladelser til grupper.

Ejerskab af objekter

Der knyttes en ejer til et objekt, når objektet oprettes. I Windows 2000 Server er ejeren som standard den, der opretter objektet. I Windows Server 2003 er dette ændret for objekter, der oprettes af medlemmer af gruppen Administratorer.
Når et medlem af gruppen Administratorer opretter et objekt i Windows Server 2003, bliver gruppen Administratorer ejeren, ikke den enkelte konto, der oprettede objektet. Denne funktionalitet kan ændres i MMC-snap-in-programmet (Microsoft Management Console) Lokale sikkerhedsindstillinger ved hjælp af indstillingen Systemobjekter: Standardejer af objekter, der er oprettet af medlemmer af gruppen Administratorer. Uanset hvilke tilladelser der er angivet for et objekt, kan objektets ejer altid ændre tilladelserne for objektet.
Yderligere oplysninger finder du under "Ejerskab" i onlinehjælpen til Windows Server.

Nedarvning af tilladelser

Med nedarvning er det nemt for administratorer at tildele og administrere tilladelser. Med denne funktion arver alle objekter i en objektbeholder automatisk alle de af objektbeholderens tilladelser, der kan nedarves. Når du for eksempel opretter filer i en mappe, arver de mappens tilladelser. Det er kun tilladelser, der er angivet til at kunne nedarves, som arves.

Brugerrettigheder

Brugerrettigheder giver bestemte rettigheder og logonrettigheder til brugere og grupper i computermiljøet.
Oplysninger om brugerrettigheder finder du under "Brugerrettigheder" i onlinehjælpen til Windows Server.

Objektovervågning

Du kan overvåge brugernes adgang til objekter. Du kan derefter få vist disse sikkerhedsrelaterede hændelser i sikkerhedsloggen ved hjælp af Logbog.
Yderligere oplysninger finder du under "Overvågning" i onlinehjælpen til Windows Server.
Bedste fremgangsmåder for adgangskontrol
• Giv tilladelser til grupper, ikke til brugere. Det er ikke effektivt at vedligeholde brugerkonti direkte, og tildeling af tilladelser på brugerbasis bør derfor kun ske undtagelsesvist.
• Benyt Afvis tilladelser til visse specialtilfælde. Du kan for eksempel benytte Afvis tilladelser til at udelukke en del af en gruppe, som har tilladelser.

Afvis aldrig adgang til et objekt for gruppen Alle. Hvis du nægter alle adgang til et objekt, omfatter det også administratorerne. Det er bedre at fjerne gruppen Alle og i stedet giver andre brugere, grupper eller computere tilladelser til objektet. Husk, at hvis der ikke defineres nogen tilladelser, tillades der ingen adgang.
• Giv tilladelser til et objekt så højt oppe i træet som muligt, og benyt derefter nedarvning til at overføre sikkerhedsindstillingerne i træet. Du kan hurtigt og effektivt anvende adgangskontrolindstillinger på alle underordnede objekter eller et undertræ til et overordnet objekt. Ved at gøre dette opnår du den størst mulige effekt med den mindst mulige indsats. De tilladelsesindstillinger, du angiver, bør være tilstrækkelige for de fleste brugere, grupper og computere.
• Eksplicitte tilladelser kan undertiden tilsidesætte nedarvede tilladelser. En nedarvet afvisning af tilladelser forhindrer ikke adgang til et objekt, hvis objektet har en eksplicit indgang for Giv tilladelse. Eksplicitte tilladelser går forud for nedarvede tilladelser, også nedarvet afvisning af tilladelser.
• For tilladelser til Active Directory®-objekter skal du være sikker på, at du forstår de specifikke bedste fremgangsmåder for Active Directory-objekter.
Yderligere oplysninger finder du under "Bedste fremgangsmåder for tildeling af tilladelser til Active Directory-objekter" i onlinehjælpen til Windows Server 2003.