Наследуемые разрешения

Унаследованные разрешения - это те, которые распространяются на объект от родительского объекта. Унаследованные разрешения облегчают управление разрешениями и обеспечивают единообразие разрешений всех объектов, находящихся в данном контейнере.

Наследование для всех объектов

Если при просмотре разрешений объекта флажки разрешения Разрешить и Запретить в различных частях пользовательского интерфейса управления доступом затенены, то этот объект унаследовал разрешения от родительского объекта. Эти наследуемые разрешения можно установить на вкладке Разрешения страницы свойств Дополнительные параметры безопасности.

Рекомендуется три способа изменения унаследованных разрешений:

  • Внесите изменения в родительский объект, разрешения для которого явно определены, и эти изменения будут унаследованы дочерним объектом. Дополнительные сведения см. в разделе Задание, просмотр, изменение и удаление разрешений для объектов.

  • Выберите разрешение Разрешить, чтобы переопределить унаследованное разрешение Запретить.

  • Снимите флажок Добавить разрешения, наследуемые от родительских объектов. Теперь можно изменить разрешения или удалить пользователей или группы из списка Разрешения. Теперь данный объект больше не будет наследовать разрешения от родительского объекта.

    Примечание

    Унаследованные разрешения «Запретить» не ограничивают доступ к объекту, если объект имеет явное разрешение «Разрешить».

    Примечание

    Явные разрешения имеют приоритет над унаследованными разрешениями, включая наследуемые разрешения «Запретить».

Если элемент Особые разрешения в Разрешения для <пользователь или группа> затенен, это не означает, что данное разрешение было унаследовано. Это означает, что выбрано особое разрешение.

На вкладке Разрешения страницы Дополнительные параметры безопасности для <папка> в Записи разрешений в столбце Применять к перечислено, к каким папкам или подпапкам применяется разрешение. В столбце Унаследовано от указано, откуда наследуются разрешения.

В поле Применять страницы Запись разрешения для <Папка> можно выбрать папки или подпапки, к которым должны будут применяться данные разрешения.

Дополнительные сведения о выполнении этих задач см. в разделах Задание, просмотр, изменение и удаление разрешений для объектов и Определение применения разрешений.

Наследование для объектов Active Directory

При работе с объектами Active Directory следует помнить, что при выборе параметра Применять для управления наследованием запись управления доступом (ACE) наследуют не только объекты, указанные в поле Применять, но и все дочерние объекты получают копию этой записи. Дочерние объекты, не указанные в поле Применять, получают копии записей управления доступом ACE, но не используют их. При наличии достаточно большого числа объектов, получающих копии этих записей, возросшее количество данных может вызвать значительное снижение производительности сети.

Если при назначении разрешений родительскому объекту требуется, чтобы дочерние объекты унаследовали данные элементы разрешений, оптимальным способом с точки зрения быстродействия системы будет создание идентичных списков управления доступом (ACL) для всех дочерних объектов. В Windows формат единственного экземпляра позволяет сохранять в доменной службе Active Directory только одну копию всех идентичных списков ACL. Создание списков ACL, используемых несколькими объектами, обеспечивает хорошую производительность сети.

Дополнительные ссылки