À chaque objet est associé un ensemble d’autorisations effectives. L’onglet Autorisations effectives de la page de propriétés Paramètres de sécurité avancés répertorie les autorisations qui seraient accordées au groupe ou à l’utilisateur sélectionné uniquement sur la base des autorisations directement accordées par le biais de l’appartenance à un groupe. Vous pouvez faire appel à l’outil Autorisations effectives pour rechercher les autorisations dont dispose un utilisateur ou un groupe sur un objet.
Facteurs utilisés pour déterminer les autorisations effectives
Les facteurs suivants sont utilisés pour déterminer les autorisations effectives :
-
Appartenance au groupe global
-
Appartenance au groupe local
-
Autorisations locales
-
Privilèges locaux
-
Appartenance à un groupe universel
Facteurs non utilisés pour déterminer les autorisations effectives
Les identificateurs de sécurité (SID) reconnus suivants ne sont pas utilisés pour déterminer des autorisations effectives :
-
Ouverture de session anonyme
-
Tâche, Groupe créateur
-
Ligne
-
Enterprise Domain Controllers
-
Interactif
-
Réseau
-
Proxy
-
Restreint
-
Distant
-
Service
-
Système
-
Utilisateur Terminal Server
-
Une autre organisation
-
Cette organisation
De même, les autorisations de partage n’entrent pas dans le calcul des autorisations effectives. L’accès aux partages peut être refusé via les autorisations de partage même s’il est possible via les autorisations NTFS.
Facteurs non utilisés pour les objets accessibles à distance
Les facteurs suivants ne sont pas utilisés pour déterminer les autorisations effectives des objets accessibles à distance :
-
Appartenance au groupe local
-
Privilèges locaux
-
Autorisations de partage
Les autorisations effectives sont basées sur une évaluation locale de l’appartenance au groupe de l’utilisateur, des privilèges utilisateur et des autorisations. Si la ressource interrogée se trouve sur un ordinateur distant, les autorisations effectives affichées ne comprendront pas les autorisations accordées ou refusées à l’utilisateur par le biais d’un groupe local sur cet ordinateur.
Récupération des autorisations effectives
Toute récupération fidèle des informations présentées ci-dessus signifie obligatoirement que vous êtes autorisé à lire les informations d’appartenance à un groupe. Si l’utilisateur ou le groupe spécifié est un objet domaine, vous devez être autorisé à lire les informations de groupe de l’objet disponibles au sujet de ce domaine.
Important | |
|
Les autorisations de domaine applicables par défaut incluent notamment les points suivants :
-
Les administrateurs de domaine sont autorisés à lire les informations d’appartenance au sujet de tous les objets.
-
Les administrateurs locaux d’une station de travail ou d’un serveur autonome ne peuvent pas lire les informations d’appartenance d’un utilisateur du domaine.
Outil Autorisations effectives
Vous pouvez faire appel à l’outil Autorisations effectives pour rechercher les autorisations dont dispose un utilisateur ou un groupe sur un objet. Cet outil permet de calculer les autorisations octroyées à l’utilisateur ou au groupe spécifié. Le calcul tient compte des autorisations résultant de l’appartenance à un groupe, ainsi que des autorisations héritées de l’objet parent. Il examine également tous les groupes de domaine et les groupes locaux dont l’utilisateur ou le groupe est membre.
Le groupe Tout le monde reste inclus tant que l’utilisateur ou le groupe sélectionné n’est pas membre du groupe Ouverture de session anonyme.
Important | |
|
Pour plus d’informations sur l’utilisation de l’outil Autorisations effectives, voir Afficher les autorisations effectives pour des fichiers et des dossiers.
Références supplémentaires