如何決定有效權限

下列是用來決定有效權限的因素：

• 全域群組成員資格
  
  
• 本機群組成員資格
  
  
• 本機權限
  
  
• 本機特殊權限
  
  
• 萬用群組成員資格
  
  

下列已知安全性識別碼 (SID) 不會用來決定有效權限：

• 匿名登入
  
  
• 批次，建立者群組
  
  
• 撥號
  
  
• Enterprise Domain Controllers
  
  
• 互動式
  
  
• 網路
  
  
• Proxy
  
  
• 限制的
  
  
• 遠端
  
  
• 服務
  
  
• 系統
  
  
• 終端機伺服器使用者
  
  
• 其他組織
  
  
• 這個組織
  
  

此外，共用權限不在有效權限計算之中。透過共用權限存取共用資源可能會遭到拒絕，即使該存取是透過 NTFS 權限所允許。

下列是不用來決定遠端存取物件之有效權限的因素：

• 本機群組成員資格
  
  
• 本機特殊權限
  
  
• 共用權限
  
  

有效權限須視對使用者之群組成員資格、使用者權限及使用權限的本機評估而定。如果要查詢的資源位於遠端電腦上，顯示的有效權限將不包含使用遠端電腦上本機群組授與或拒絕使用者的權限。

準確擷取上述的資訊需要有讀取成員資格資訊的權限。如果特定使用者或群組是網域物件，您必須具備在網域讀取此物件之群組資訊的權限。

	重要
	使用 [有效權限] 索引標籤來決定使用者對網域中某些資源的權限時，使用者介面中所顯示的結果可能與使用者對該資源的實際權限有所不同。當下列其中一項條件成立時就會發生此問題： 從資源伺服器遠端執行系統管理工具。 您用來執行系統管理工具的使用者帳戶不在與資源相同的網域中。 若要避免此問題，請務必確認在裝載該資源的電腦本機上擁有有效權限，並確定執行工具所用的系統管理使用者帳戶與資源位於相同的網域中。

相關的預設網域權限如下：

• 網域管理員有權讀取所有物件的成員資格資訊。
  
  
• 工作站或獨立伺服器上的本機管理員不能讀取網域使用者的成員資格資訊。
  
  

若想了解使用者或群組在物件上擁有的權限，您可以使用 [有效權限工具]。它會計算授與給指定使用者或群組的權限。計算包括從群組成員資格生效的權限，以及繼承自父物件的任何權限。它會查看使用者或群組為其成員的所有網域和本機群組。

只要選取的使用者或群組不是 Anonymous Logon 群組的成員之一，就一定會包括 Everyone 群組。

	重要
	「有效權限」工具只產生使用者擁有權限的概略。使用者實際擁有的權限可能不同，因為權限可能因使用者登入的方式而授與或拒絕。如果使用者未登入，[有效權限工具] 就無法判斷特定登入的資訊，因此它顯示的有效權限只能反映使用者或群組指定的權限，而沒有藉由登入而指定的權限。 例如，如果使用者透過共用資料夾連接到此電腦，則此使用者的登入會標示為網路登入。權限可能會被授與或拒絕給連接使用者所接收的網路知名 SID，所以使用者從本機登入和從網路登入時會有不同的權限。 如需授與有效權限之存取權的相關資訊，請參閱 Microsoft 知識庫文章 331951 (https://go.microsoft.com/fwlink/?LinkId=63270 (可能為英文網頁))。

如需使用有效權限工具的相關資訊，請參閱檢視檔案及資料夾的有效權限。

其他參考資料

• 管理權限