Z każdym obiektem jest skojarzony zestaw czynnych uprawnień. Na karcie Czynne uprawnienia strony właściwości Zaawansowane ustawienia zabezpieczeń znajduje się lista uprawnień, które mogą zostać udzielone wybranej grupie lub użytkownikowi wyłącznie na podstawie uprawnień udzielonych bezpośrednio dzięki członkostwu w grupie. Aby dowiedzieć się, jakie uprawnienia do obiektu ma użytkownik lub grupa, można użyć narzędzia Czynne uprawnienia.
Czynniki używane do określania czynnych uprawnień
Następujące elementy służą do określania czynnych uprawnień:
-
Członkostwo grupy globalnej
-
Członkostwo grupy lokalnej
-
Uprawnienia lokalne
-
Przywileje lokalne
-
Członkostwo grupy uniwersalnej
Czynniki, które nie są używane do określania czynnych uprawnień
Następujące znane identyfikatory zabezpieczeń (SID) nie są używane do określania czynnych uprawnień:
-
Logowanie anonimowe
-
Wsad, Grupa twórców
-
Dialup
-
Kontrolery domeny przedsiębiorstwa
-
Interakcyjny
-
Sieć
-
Proxy
-
Z ograniczeniami
-
Zdalny
-
Usługa
-
System
-
Użytkownik serwera terminali
-
Inna organizacja
-
Ta organizacja
Także uprawnienia udostępniania, które nie są częścią obliczeń czynnych uprawnień. Za pomocą uprawnień udostępniania można odmówić dostępu do udziałów, nawet gdy dostęp jest możliwy na podstawie uprawnień NTFS.
Czynniki nieużywane w przypadku obiektów, do których dostęp jest uzyskiwany zdalnie
Następujące elementy nie są używane do określania czynnych uprawnień dla obiektów, do których dostęp jest uzyskiwany zdalnie:
-
Członkostwo grupy lokalnej
-
Przywileje lokalne
-
Uprawnienia udziału
Czynne uprawnienia są oparte na lokalnej ocenie przynależności użytkownika do grup, jego przywilejów i uprawnień. Jeśli zasób, którego dotyczy zapytanie, znajduje się na komputerze zdalnym, lista wyświetlanych czynnych uprawnień nie będzie uwzględniać uprawnień, które zostały udzielone lub odmówione użytkownikowi dzięki członkostwu w grupie lokalnej na komputerze zdalnym.
Pobieranie czynnych uprawnień
Aby prawidłowo pobrać powyższe informacje, wymagane jest uprawnienie odczytu informacji o członkostwie. Jeśli określony użytkownik lub grupa jest obiektem domeny, wymagane jest uprawnienie do odczytu informacji o grupie obiektu dotyczących domeny.
Ważne | |
|
Poniżej wymieniono kilka właściwych domyślnych uprawnień do domeny:
-
Administratorzy domen mają uprawnienie do odczytu informacji o członkostwie dla wszystkich obiektów.
-
Administratorzy lokalni stacji roboczych lub serwerów autonomicznych nie mogą odczytywać informacji o członkostwie dla użytkownika domeny.
Narzędzie Czynne uprawnienia
Aby dowiedzieć się, jakie uprawnienia do obiektu ma użytkownik lub grupa, można użyć narzędzia Czynne uprawnienia. Narzędzie to oblicza uprawnienia udzielane określonemu użytkownikowi lub grupie. W obliczeniach są uwzględniane uprawnienia uzyskane dzięki przynależności do grupy oraz odziedziczone po obiekcie nadrzędnym. Podczas obliczeń narzędzie przeszukuje wszystkie grupy domen i grupy lokalne, których członkiem jest dany użytkownik lub grupa.
Grupa Wszyscy jest uwzględniana zawsze, jeśli zaznaczony użytkownik lub grupa nie jest członkiem grupy Logowanie anonimowe.
Ważne | |
|
Aby uzyskać informacje dotyczące korzystania z narzędzia Czynne uprawnienia, zobacz temat Wyświetlanie czynnych uprawnień do plików i folderów.
Dodatkowe informacje