继承权限是从父对象传播到对象的权限。继承权限可以减轻管理权限的任务,并且确保给定容器内所有对象之间的权限一致性。
所有对象的继承
如果访问控制用户界面各个部分中的“允许”和“拒绝”权限复选框在您查看对象的权限时显示为灰色,则该对象具有从父对象继承的权限。可以使用“高级安全设置”属性页的“权限”选项卡来设置这些继承权限。
有以下三种推荐方式可对继承权限进行更改:
-
对明确定义权限的父对象进行更改,然后子对象将继承这些权限。有关详细信息,请参阅设置、查看、更改或删除对象上的权限。
-
选择“允许”权限替代继承的“拒绝”权限。
-
清除“包括可从该对象的父项继承的权限”复选框。然后便可对权限进行更改或删除“权限”列表中的用户或组。但是,该对象将不再从其父对象继承权限。
注意 如果对象具有显式“允许”权限条目,则继承的“拒绝”权限不阻止对该对象的访问。
注意 显式权限比继承权限(包括继承的“拒绝”权限)的优先级高。
如果阴影覆盖了“<用户或组> 权限”中的“特殊权限”条目,则并不表示该权限已被继承。这意味着已选择某一特殊权限。
在“<文件夹> 的高级安全设置”页面的“权限”选项卡上的“权限条目”中,“应用于”列列出了应用权限的文件夹或子文件夹。“继承于”列列出了继承权限的位置。
可以使用“<文件夹> 的权限条目”页面的“应用于”字段来选择您要将权限应用到的文件夹或子文件夹。
有关如何完成这些任务的详细信息,请参阅设置、查看、更改或删除对象上的权限以及确定应用权限的位置。
Active Directory 对象的继承
当使用“应用于”选项控制 Active Directory 对象的继承时,请注意不只是在“应用于”框中指定的对象继承该访问控制项 (ACE),所有子对象也会收到该 ACE 的副本。“应用于”框中未指定的子对象会收到多份 ACE,但不会强制使用它。如果有足够的对象获取多份 ACE,则增加的数据量可导致网络出现严重的性能问题。
如果为父对象分配权限,并希望子对象继承这些权限项,可以通过确保所有子对象拥有相同的访问控制列表 (ACL)以保持最佳性能。在 Windows 中,单实例允许 Active Directory 域服务 (AD DS) 仅存储所有相同 ACL 的一份副本。创建许多对象可使用的 ACL 可保持网络性能。
其他参考
-
有关权限的详细信息,请参阅什么是权限?。
- 有关 Active Directory 对象的权限的详细信息,请参阅
Active Directory 中的访问控制(可能为英文网页) (https://go.microsoft.com/fwlink/?LinkId=63972)。