Z każdym obiektem jest skojarzony zestaw czynnych uprawnień. Na karcie Czynne uprawnienia strony właściwości Zaawansowane ustawienia zabezpieczeń znajduje się lista uprawnień, które mogą zostać udzielone wybranej grupie lub użytkownikowi wyłącznie na podstawie uprawnień udzielonych bezpośrednio dzięki członkostwu w grupie. Aby dowiedzieć się, jakie uprawnienia do obiektu ma użytkownik lub grupa, można użyć narzędzia Czynne uprawnienia.

Czynniki używane do określania czynnych uprawnień

Następujące elementy służą do określania czynnych uprawnień:

  • Członkostwo grupy globalnej

  • Członkostwo grupy lokalnej

  • Uprawnienia lokalne

  • Przywileje lokalne

  • Członkostwo grupy uniwersalnej

Czynniki, które nie są używane do określania czynnych uprawnień

Następujące znane identyfikatory zabezpieczeń (SID) nie są używane do określania czynnych uprawnień:

  • Logowanie anonimowe

  • Wsad, Grupa twórców

  • Dialup

  • Kontrolery domeny przedsiębiorstwa

  • Interakcyjny

  • Sieć

  • Proxy

  • Z ograniczeniami

  • Zdalny

  • Usługa

  • System

  • Użytkownik serwera terminali

  • Inna organizacja

  • Ta organizacja

Także uprawnienia udostępniania, które nie są częścią obliczeń czynnych uprawnień. Za pomocą uprawnień udostępniania można odmówić dostępu do udziałów, nawet gdy dostęp jest możliwy na podstawie uprawnień NTFS.

Czynniki nieużywane w przypadku obiektów, do których dostęp jest uzyskiwany zdalnie

Następujące elementy nie są używane do określania czynnych uprawnień dla obiektów, do których dostęp jest uzyskiwany zdalnie:

  • Członkostwo grupy lokalnej

  • Przywileje lokalne

  • Uprawnienia udziału

Czynne uprawnienia są oparte na lokalnej ocenie przynależności użytkownika do grup, jego przywilejów i uprawnień. Jeśli zasób, którego dotyczy zapytanie, znajduje się na komputerze zdalnym, lista wyświetlanych czynnych uprawnień nie będzie uwzględniać uprawnień, które zostały udzielone lub odmówione użytkownikowi dzięki członkostwu w grupie lokalnej na komputerze zdalnym.

Pobieranie czynnych uprawnień

Aby prawidłowo pobrać powyższe informacje, wymagane jest uprawnienie odczytu informacji o członkostwie. Jeśli określony użytkownik lub grupa jest obiektem domeny, wymagane jest uprawnienie do odczytu informacji o grupie obiektu dotyczących domeny.

Ważne
  • W przypadku używania karty Czynne uprawnienia do określania uprawnień użytkownika do pewnych zasobów w domenie wyniki wyświetlane w interfejsie użytkownika mogą różnić się od rzeczywistych uprawnień tego użytkownika do danego zasobu. Dzieje się tak, gdy jest spełniony jeden z następujących warunków:
    • Narzędzia administracyjne są uruchamiane zdalnie z serwera zasobów.

    • Konto użytkownika używane do uruchomienia narzędzi administracyjnych nie znajduje się w tej samej domenie co zasób.

  • Aby uniknąć tego problemu, należy zawsze sprawdzać czynne uprawnienia lokalnie na komputerze udostępniającym zasób oraz upewnić się, że konto użytkownika z uprawnieniami administratora używane do uruchamiania narzędzia znajduje się w tej samej domenie co zasób.

Poniżej wymieniono kilka właściwych domyślnych uprawnień do domeny:

  • Administratorzy domen mają uprawnienie do odczytu informacji o członkostwie dla wszystkich obiektów.

  • Administratorzy lokalni stacji roboczych lub serwerów autonomicznych nie mogą odczytywać informacji o członkostwie dla użytkownika domeny.

Narzędzie Czynne uprawnienia

Aby dowiedzieć się, jakie uprawnienia do obiektu ma użytkownik lub grupa, można użyć narzędzia Czynne uprawnienia. Narzędzie to oblicza uprawnienia udzielane określonemu użytkownikowi lub grupie. W obliczeniach są uwzględniane uprawnienia uzyskane dzięki przynależności do grupy oraz odziedziczone po obiekcie nadrzędnym. Podczas obliczeń narzędzie przeszukuje wszystkie grupy domen i grupy lokalne, których członkiem jest dany użytkownik lub grupa.

Grupa Wszyscy jest uwzględniana zawsze, jeśli zaznaczony użytkownik lub grupa nie jest członkiem grupy Logowanie anonimowe.

Ważne
  • Narzędzie Czynne uprawnienia umożliwia uzyskanie tylko przybliżonych danych o uprawnieniach, które posiada użytkownik. Uprawnienia, które rzeczywiście ma użytkownik, mogą być inne, ponieważ uprawnień można udzielać lub odmawiać na podstawie sposobu logowania użytkownika. Tych informacji dotyczących logowania nie można określić za pomocą narzędzia Czynne uprawnienia, jeśli użytkownik nie jest zalogowany. Dlatego wyświetlane informacje dotyczące czynnych uprawnień odzwierciedlają uprawnienia określone przez użytkownika lub grupę, a nie określone w procesie logowania.
  • Na przykład, jeśli użytkownik jest połączony z tym komputerem za pośrednictwem folderu udostępnionego, logowanie tego użytkownika jest oznaczone jako logowanie sieciowe. Uprawnień można udzielać lub odmawiać sieciom z dobrze znanym identyfikatorem zabezpieczeń (SID, Security ID), który otrzymuje podłączony użytkownik. W ten sposób użytkownik może mieć inne uprawnienia, gdy jest zalogowany lokalnie, a inne, gdy jest zalogowany do sieci.
  • Aby uzyskać informacje na temat udzielania dostępu do czynnych uprawnień, zobacz artykuł 331951 w bazie wiedzy Microsoft Knowledge Base (https://go.microsoft.com/fwlink/?LinkId=63270) (strona może zostać wyświetlona w języku angielskim).

Aby uzyskać informacje dotyczące korzystania z narzędzia Czynne uprawnienia, zobacz temat Wyświetlanie czynnych uprawnień do plików i folderów.

Dodatkowe informacje

Spis treści