Каждый объект имеет набор связанных с ним действующих разрешений. Вкладка Действующие разрешения на странице свойств Дополнительные параметры безопасности содержит список разрешений, которые будут даны выбранной группе или пользователю только на основании членства в группах. Если требуется узнать, какими разрешениями для доступа к объекту обладают пользователь или группа, можно воспользоваться средством «Действующие разрешения».
Факторы, используемые для определения действующих разрешений
Факторы, используемые для определения действующих разрешений
- Принадлежность к глобальной группе
- Принадлежность к локальным группам
- Локальные разрешения
- Локальные привилегии
- Принадлежность к универсальной группе
Факторы, не используемые для определения действующих разрешений
Следующие хорошо известные идентификаторы безопасности не используются для определения действующих разрешений:
- Анонимный вход
- Пакетные файлы, Группа-создатель
- Удаленный доступ
- Контроллеры домена предприятия
- Интерактивный режим
- Сеть
- Прокси
- Ограниченный
- Удаленный
- Служба
- Системный
- Пользователь сервера терминалов
- Другая организация
- Данная организация
При вычислении действующих разрешений также не учитываются разрешения общего доступа. Доступ к общим ресурсам может быть отклонен по разрешениям для общих ресурсов, даже если доступ разрешен разрешениями NTFS.
Факторы, которые не используются для объектов удаленного доступа
Факторы, которые не используются для определения действующих разрешений для объектов удаленного доступа.
- Принадлежность к локальным группам
- Локальные привилегии
- Разрешения для общего ресурса
В основе действующих разрешений лежит локальное вычисление принадлежности пользователя к группе, привилегий пользователя и разрешений. Если запрашиваемый ресурс находится на удаленном компьютере, отображаемые действующие разрешения не включают разрешения, предоставленные или запрещенные пользователю в соответствии с локальной группой на удаленном компьютере.
Получение действующих разрешений
Для получения точных данных, перечисленных выше, требуется разрешение на чтение сведений о принадлежности к группам. Если данные пользователь или группа являются объектами домена, необходимо иметь разрешение на чтение сведений группы объекта на домене.
Важно! | |
|
Ниже приведены некоторые подходящие разрешения домена по умолчанию.
- Администраторы домена имеют разрешение на
чтение сведений о принадлежности к группам для всех объектов.
- Локальные администраторы рабочей станции или
изолированного сервера не имеют разрешения на чтение сведений о
принадлежности к группам пользователя домена.
Средство «Действующие разрешения»
Если требуется узнать, какими разрешениями для доступа к объекту обладают пользователь или группа, можно воспользоваться средством «Действующие разрешения». Это средство вычисляет разрешения, предоставленные указанному пользователю или группе. При вычислении действующих разрешений принимаются во внимание разрешения, обеспечиваемые групповой принадлежностью, а также разрешения, унаследованные от родительского объекта. При этом просматриваются все домены и локальные группы, к которым принадлежит данный пользователь или группа.
Группа «Все» принимается во внимание всегда, кроме случаев, когда выбранные пользователь или группа принадлежат к группе «Анонимный вход».
Важно! | |
|
Сведения об использовании средства «Действующие разрешения» см. в разделеПросмотр действующих разрешений для файлов и папок.
Дополнительные ссылки