Každý objekt má k sobě přiřazenou sadu skutečných oprávnění. Karta Skutečná oprávnění stránky vlastností Upřesnit nastavení zabezpečení zobrazuje seznam takových oprávnění, která by pro zvolenou skupinu či uživatele vyplývala výhradně z členství ve skupinách. Pokud chcete zjistit, jaká oprávnění má příslušný uživatel či skupina k objektu, můžete použít nástroj Skutečná oprávnění.

Faktory, které se používají k určování skutečných oprávnění

K určování skutečných oprávnění se používají následující faktory:

  • členství v globálních skupinách,

  • členství v místních skupinách,

  • místní oprávnění,

  • místní privilegia,

  • Členství v univerzální skupině.

Faktory, které se nepoužívají k určení skutečných oprávnění

Skutečná oprávnění se neurčují na základě následujících známých identifikátorů zabezpečení SID:

  • Anonymous Logon,

  • Batch, Creator Group,

  • Dialup,

  • Enterprise Domain Controllers,

  • Interactive,

  • Network,

  • Proxy,

  • Restricted,

  • Remote,

  • Service,

  • System,

  • Terminal Server User,

  • Other Organization,

  • This Organization.

Také oprávnění k přístupu ke sdílené položce nejsou součástí výpočtu platných oprávnění. Přístup ke sdílené položce lze odepřít prostřednictvím oprávnění k přístupu ke sdíleným položkám i tehdy, pokud je povolen v oprávněních NTFS.

Faktory, které se nepoužívají u objektů se vzdáleným přístupem

K určování skutečných oprávnění u objektů se vzdáleným přístupem se nepoužívají následující faktory:

  • členství v místních skupinách,

  • místní oprávnění,

  • oprávnění k přístupu ke sdílené položce.

Skutečná oprávnění jsou založena na místním vyhodnocení členství uživatele ve skupinách, uživatelských práv a oprávnění. Jestliže je dotazovaný prostředek umístěný ve vzdáleném počítači, nebudou zobrazená skutečná oprávnění zahrnovat ta oprávnění, která byla přidělena či odebrána uživateli pomocí místní skupiny ve vzdáleném počítači.

Zjišťování skutečných oprávnění

Přesné zjištění výše uvedených informací vyžaduje oprávnění pro čtení členských informací. Jestliže je zadaný uživatel nebo skupina objektem domény, je potřeba oprávnění ke čtení informací o skupině objektu domény.

Důležité informace
  • Pokud použijete ke zjištění oprávnění uživatele k určitým prostředkům v doméně kartu Skutečná oprávnění, mohou být výsledky zobrazené v uživatelském rozhraní nekonzistentní s opravdovými oprávněními uživatele k danému prostředku. Tento problém nastane při splnění jedné z následujících podmínek:
    • Nástroje pro správu spouštíte vzdáleně ze serveru prostředků.

    • Uživatelský účet použitý ke spuštění nástrojů pro správu není ve stejné doméně jako prostředek.

  • Aby k tomuto problému nedocházelo, zjišťujte skutečná oprávnění místně v počítači, který je hostitelem prostředku, a zajistěte, aby uživatelský účet správce použitý ke spuštění nástroje byl ve stejné doméně jako prostředek.

Dále jsou uvedena některá odpovídající doménová oprávnění:

  • Správci domény mají oprávnění číst informace o členství všech objektů.

  • Místní správci na pracovní stanici nebo samostatném serveru nemohou číst informace o členství u uživatelů v doméně.

Nástroj Skutečná oprávnění

Pokud chcete zjistit, jaká oprávnění má příslušný uživatel či skupina k objektu, můžete použít nástroj Skutečná oprávnění. Tento nástroj provede výpočet oprávnění udělených zadanému uživateli nebo skupině. Při výpočtu skutečných oprávnění jsou brána v úvahu oprávnění vyplývající z členství ve skupinách a také oprávnění děděná z nadřazeného objektu. Nástroj prohledá všechny doménové a místní skupiny, do kterých uživatel nebo skupina patří.

Skupina Everyone bude zahrnuta vždy, pokud není uživatel nebo skupina členem skupiny Anonymous Logon.

Důležité informace
  • Nástroj Skutečná oprávnění uvádí pouze odhad oprávnění, kterými uživatelé disponují. Opravdová oprávnění uživatele mohou být jiná, protože oprávnění je možné udělit nebo odepřít podle toho, jakým způsobem se uživatel přihlásí. Tyto informace závislé na způsobu přihlášení nelze pomocí nástroje Skutečná oprávnění určit, není-li uživatel přihlášen. Skutečná oprávnění zobrazená tímto nástrojem proto odrážejí pouze oprávnění určená uživatelem nebo skupinou, nikoli oprávnění určená přihlášením.
  • Jestliže je tedy například uživatel připojen k tomuto počítači pomocí sdílené složky, bude přihlášení tohoto uživatele označeno jako přihlášení do sítě. Oprávnění lze v síti udělit nebo odepřít známému identifikátoru SID, který obdrží každý připojený uživatel. Znamená to, že uživatel má jiná oprávnění, když se přihlásí místně, než když se přihlásí prostřednictvím sítě.
  • Další informace o udělování přístupu u skutečných oprávnění naleznete v článku 331951 znalostní báze Microsoft Knowledge Base (https://go.microsoft.com/fwlink/?LinkId=63270) (stránka může být v angličtině).

Další informace o používání nástroje Skutečná oprávnění naleznete v tématu Zobrazení skutečných oprávnění souborů a složek.

Další odkazy


Obsah