Cada objecto tem um conjunto de permissões efectivas a ele associado. O separador Permissões Efectivas da página de propriedades Definições Avançadas de Segurança lista as permissões que seriam concedidas ao grupo ou utilizador seleccionado baseando-se exclusivamente nas permissões concedidas directamente através da associação a grupos. Para saber que permissões um utilizador ou grupo tem relativamente a um objecto, pode utilizar a ferramenta Permissões Efectivas.

Factores utilizados para determinar as permissões efectivas

Os factores seguintes são utilizados para determinar as permissões efectivas:

  • Membros do grupo global

  • Membros do grupo local

  • Permissões locais

  • Privilégios locais

  • Membros do grupo universal

Factores que não são utilizados para determinar as permissões efectivas

Os SIDs (security identifiers) conhecidos que se seguem não são utilizados para determinar permissões efectivas:

  • Início de Sessão Anónimo

  • Batch, Grupo Criador

  • Acesso telefónico

  • Controladores de Domínio da Empresa

  • Interactivo

  • Rede

  • Proxy

  • Restrito

  • Remoto

  • Serviço

  • Sistema

  • Utilizador do Servidor de Terminais

  • Outra organização

  • Esta Organização

Da mesma forma, as permissões da partilha não fazem parte do cálculo de permissões efectivas. O acesso às partilhas pode ser negado através de permissões da partilha, quando o acesso é permitido através das permissões NTFS.

Factores que não são utilizados para objectos acedidos remotamente

Os factores seguintes não são utilizados para determinar as permissões efectivas para objectos acedidos remotamente:

  • Associação a grupos locais

  • Privilégios locais

  • Permissões da partilha

As permissões efectivas baseiam-se numa avaliação local da associação a grupos do utilizador, dos privilégios de utilizador e das permissões. Se o recurso a ser consultado estiver num computador remoto, as permissões efectivas apresentadas não incluirão permissões concedidas ou negadas ao utilizador através da utilização de um grupo local no computador remoto.

Obter permissões efectivas

A obtenção exacta das informações anteriores requer permissão de leitura das informações de membros. Se o utilizador ou grupo especificado for um objecto de domínio, deve ter permissão de leitura das informações de grupo do objecto sobre o domínio.

Importante
  • Quando utilizar o separador Permissões Efectivas para determinar as permissões que um utilizador tem para determinados recursos num domínio, os resultados que são apresentados na interface de utilizador podem ser inconsistentes com as permissões reais do utilizador para esse recurso. Este problema ocorre quando uma das condições seguintes é verdadeira:
    • Executa as ferramentas administrativas remotamente a partir do servidor de recursos.

    • A conta de utilizador que está a utilizar para executar as ferramentas administrativas não se encontra no mesmo domínio do recurso.

  • Para evitar este problema, verifique sempre as permissões efectivas localmente num computador que aloja o recurso e certifique-se de que a conta do utilizador administrativo utilizada para executar a ferramenta se encontra no mesmo domínio que o recurso.

Seguem-se algumas permissões de domínio predefinidas relevantes:

  • Os administradores do domínio têm permissão de leitura das informações de membros sobre todos os objectos.

  • Numa estação de trabalho ou num servidor autónomo, os administradores locais não podem ler as informações de membros para um utilizador de domínio.

Ferramenta Permissões Efectivas

Para saber que permissões um utilizador ou grupo tem relativamente a um objecto, pode utilizar a ferramenta Permissões Efectivas. Calcula as permissões que são concedidas ao utilizador ou grupo especificado. O cálculo inclui as permissões em vigor de associação a grupos e quaisquer permissões herdadas do objecto principal. Procura todos os grupos locais e de domínio dos quais o utilizador ou o grupo é membro.

O grupo Todos será sempre incluído, desde que o utilizador ou o grupo seleccionado não seja membro do grupo Início de Sessão Anónimo.

Importante
  • A ferramenta Permissões Efectivas só produz uma aproximação das permissões que um utilizador tem. As permissões reais que o utilizador tem poderão ser diferentes, uma vez que as permissões podem ser concedidas ou negadas com base no modo de início de sessão de um utilizador. Estas informações específicas de início de sessão não podem ser determinadas pela ferramenta Permissões Efectivas se o utilizador não tiver iniciado sessão e, por isso, as permissões efectivas que são apresentadas reflectem apenas as permissões especificadas pelo utilizador ou grupo e não as permissões especificadas pelo início de sessão.
  • Por exemplo, se um utilizador estiver ligado a este computador através de uma partilha de pastas, o início de sessão para esse utilizador é marcado como um início de sessão de rede. As permissões podem ser concedidas ou negadas à Rede de SIDs conhecidos que o utilizador ligado recebe, para que um utilizador tenha permissões diferentes quando tem sessão iniciada localmente das permissões quando tem sessão iniciada numa rede.
  • Para informações sobre a concessão de acesso para permissões efectivas, consulte o artigo 331951 na Base de Dados de Conhecimento Microsoft (pode estar em inglês) (https://go.microsoft.com/fwlink/?LinkId=63270).

Para obter mais informações sobre a utilização da ferramenta Permissões Efectivas, consulte Ver Permissões Efectivas em Ficheiros e Pastas.

Referências adicionais

Sumário