Каждый объект имеет набор связанных с ним действующих разрешений. Вкладка Действующие разрешения на странице свойств Дополнительные параметры безопасности содержит список разрешений, которые будут даны выбранной группе или пользователю только на основании членства в группах. Если требуется узнать, какими разрешениями для доступа к объекту обладают пользователь или группа, можно воспользоваться средством «Действующие разрешения».

Факторы, используемые для определения действующих разрешений

Факторы, используемые для определения действующих разрешений

  • Принадлежность к глобальной группе

  • Принадлежность к локальным группам

  • Локальные разрешения

  • Локальные привилегии

  • Принадлежность к универсальной группе

Факторы, не используемые для определения действующих разрешений

Следующие хорошо известные идентификаторы безопасности не используются для определения действующих разрешений:

  • Анонимный вход

  • Пакетные файлы, Группа-создатель

  • Удаленный доступ

  • Контроллеры домена предприятия

  • Интерактивный режим

  • Сеть

  • Прокси

  • Ограниченный

  • Удаленный

  • Служба

  • Системный

  • Пользователь сервера терминалов

  • Другая организация

  • Данная организация

При вычислении действующих разрешений также не учитываются разрешения общего доступа. Доступ к общим ресурсам может быть отклонен по разрешениям для общих ресурсов, даже если доступ разрешен разрешениями NTFS.

Факторы, которые не используются для объектов удаленного доступа

Факторы, которые не используются для определения действующих разрешений для объектов удаленного доступа.

  • Принадлежность к локальным группам

  • Локальные привилегии

  • Разрешения для общего ресурса

В основе действующих разрешений лежит локальное вычисление принадлежности пользователя к группе, привилегий пользователя и разрешений. Если запрашиваемый ресурс находится на удаленном компьютере, отображаемые действующие разрешения не включают разрешения, предоставленные или запрещенные пользователю в соответствии с локальной группой на удаленном компьютере.

Получение действующих разрешений

Для получения точных данных, перечисленных выше, требуется разрешение на чтение сведений о принадлежности к группам. Если данные пользователь или группа являются объектами домена, необходимо иметь разрешение на чтение сведений группы объекта на домене.

Важно!
  • Если для определения разрешений пользователя к определенным ресурсам домена используется вкладка Действующие разрешения, отображаемые в пользовательском интерфейсе результаты могут отличаться от фактических разрешений пользователя для данного ресурса. Эта проблема возникает при выполнении одного из следующих условий.
    • Средства администрирования выполняются удаленно с сервера ресурсов.

    • Учетная запись, используемая для запуска средств администрирования, находится не в домене ресурсов.

  • Чтобы избежать этой проблемы, необходимо всегда локально проверять действующие разрешения на компьютере, где размещен ресурс, и гарантировать, что для запуска средства используется административная учетная запись из того же домена, в котором находится ресурс.

Ниже приведены некоторые подходящие разрешения домена по умолчанию.

  • Администраторы домена имеют разрешение на чтение сведений о принадлежности к группам для всех объектов.

  • Локальные администраторы рабочей станции или изолированного сервера не имеют разрешения на чтение сведений о принадлежности к группам пользователя домена.

Средство «Действующие разрешения»

Если требуется узнать, какими разрешениями для доступа к объекту обладают пользователь или группа, можно воспользоваться средством «Действующие разрешения». Это средство вычисляет разрешения, предоставленные указанному пользователю или группе. При вычислении действующих разрешений принимаются во внимание разрешения, обеспечиваемые групповой принадлежностью, а также разрешения, унаследованные от родительского объекта. При этом просматриваются все домены и локальные группы, к которым принадлежит данный пользователь или группа.

Группа «Все» принимается во внимание всегда, кроме случаев, когда выбранные пользователь или группа принадлежат к группе «Анонимный вход».

Важно!
  • Средство «Действующие разрешения» выдает только приблизительный набор разрешений пользователя. В действительности список разрешений может быть другим, поскольку разрешения предоставляются и отменяются в зависимости от способа входа в систему. Сведения о входе в систему не могут быть определены средством «Действующие разрешения», поскольку пользователь не находится в системе; поэтому отображаются только разрешения, назначенные пользователю или группе, и не отображаются разрешения, определенные способом входа в систему.
  • Например, если пользователь подключен к компьютеру через общую папку, то вход для этого пользователя помечается как сетевой вход. Разрешения могут быть даны или отменены в соответствии с известными идентификаторами, которые получает подключенный пользователь, поэтому пользователь будет обладать различными разрешениями при локальном и сетевом входе в систему.
  • Дополнительные сведения о предоставлении доступа для действующих разрешений см. в статье 331951 базы знаний Майкрософт (страница может быть на английском языке) (http://go.microsoft.com/fwlink/?linkid=63270).

Сведения об использовании средства «Действующие разрешения» см. в разделеПросмотр действующих разрешений для файлов и папок.

Дополнительные ссылки