Der er knyttet et sæt gældende tilladelser til de enkelte objekter. Fanen Gældende tilladelser på egenskabssiden Avancerede sikkerhedsindstillinger indeholder de tilladelser, den valgte gruppe eller bruger tildeles udelukkende på baggrund af de tilladelser, der tildeles direkte via gruppemedlemskab. Hvis du vil finde ud af, hvilke tilladelser en bruger eller gruppe har til et objekt, kan du bruge værktøjet Gældende tilladelser.

Faktorer, der bruges til at fastslå gældende tilladelser

Følgende faktorer bruges til at fastslå gældende tilladelser:

  • Medlemmer af global gruppe

  • Medlemmer af lokal gruppe

  • Lokale tilladelser

  • Lokale rettigheder

  • Medlemmer af universel gruppe

Faktorer, der ikke bruges til at fastslå gældende tilladelser

Følgende velkendte SID'er (sikkerheds-id'er) bruges ikke til at fastslå gældende tilladelser:

  • Anonymt logon

  • Batch, Creator Group

  • Opkald

  • Domænecontrollere i virksomheden

  • Interaktiv

  • Netværk

  • Proxy

  • Restricted

  • Fjernforbindelse

  • Tjeneste

  • System

  • Terminal Server-bruger

  • Anden organisation

  • Denne organisation

Sharetilladelser udgør heller ikke en del af beregningen af gældende tilladelser. Adgang til shares kan afvises via sharetilladelser, også selvom adgang tillades via NTFS-tilladelser.

Faktorer, som ikke bruges til objekter, der skal oprettes fjernadgang til

Følgende faktorer bruges ikke til at fastslå gældende tilladelser for objekter, der skal oprettes fjernadgang til:

  • Medlemmer af lokal gruppe

  • Lokale rettigheder

  • Sharetilladelser

Gældende tilladelser er baseret på en lokal evaluering af brugerens gruppemedlemskab, brugerrettigheder og tilladelser. Hvis den ressource, der forespørges, arbejder på en fjerncomputer, omfatter de gældende tilladelser, der vises, ikke tilladelser, der er tildelt eller afvist for brugeren via brugen af en lokal gruppe på fjerncomputeren.

Hente gældende tilladelser

Korrekt overførsel af ovenstående oplysninger kræver tilladelse til at læse medlemsoplysninger. Hvis den angivne bruger eller gruppe er et domæneobjekt, skal du have tilladelse til at læse objektets gruppeoplysninger om domænet.

Vigtigt!
  • Når du bruger fanen Gældende tilladelser til at fastslå, hvilke tilladelser en bruger har til bestemte ressourcer i et domæne, kan de resultater, der vises i brugergrænsefladen, være inkonsistente med brugerens faktiske tilladelser til den pågældende ressource. Dette problem opstår, hvis et af følgende forhold er til stede:
    • Du kører de administrative værktøjer eksternt fra ressourceserveren.

    • Den brugerkonto, du bruger til at køre de administrative værktøjer, findes ikke i det samme domæne som ressourcen.

  • Du kan undgå dette problem ved altid at kontrollere de gældende tilladelser lokalt på en computer der er vært for ressourcen, og sørge for, at den administrative brugerkonto, der bruges til at køre værktøjet, findes i det samme domæne som ressourcen.

Her vises nogle af standarddomænetilladelserne:

  • Domæneadministratorer har tilladelse til at læse medlemsoplysninger om alle objekter.

  • Lokale administratorer for en arbejdsstation eller en separat server kan ikke læse medlemsoplysninger om en domænebruger.

Værktøjet Gældende tilladelser

Hvis du vil finde ud af, hvilke tilladelser en bruger eller gruppe har til et objekt, kan du bruge værktøjet Gældende tilladelser. Her beregnes de tilladelser, den angivne bruger eller gruppe tildeles. Ved beregningen medtages de gældende tilladelser fra gruppemedlemskab, samt eventuelle tilladelser, der er nedarvet fra det overordnede objekt. Der søges efter alle domænegrupper og lokale grupper, brugeren eller gruppen er medlem af.

Gruppen Alle medtages altid, så længe den markerede bruger eller gruppe ikke er medlem af gruppen Anonymt logon.

Vigtigt!
  • Med værktøjet Gældende tilladelser sker der kun en omtrentlig beregning af de tilladelser, en bruger har. De faktiske tilladelser, brugeren har, afviger måske, da tilladelser kan tildeles eller afvises på baggrund af, hvordan en bruger logger på. Disse logonspecifikke oplysninger kan ikke fastslås af værktøjet Gældende tilladelser, da brugeren ikke er logget på. De gældende tilladelser, der vises, afspejler derfor kun de tilladelser, som er angivet af brugeren eller gruppen, og ikke de tilladelser, der er angivet af logon.
  • Hvis en bruger f.eks. har forbindelse til denne computer via en delt mappe, markeres logon for den pågældende bruger som et netværkslogon. Der kan tildeles eller afvises tilladelser til det velkendte SID-netværk (sikkerheds-id), som den forbundne bruger modtager, så en bruger har forskellige tilladelser, når der er logget på, end når der er logget på via et netværk.
  • Du kan finde flere oplysninger om tildeling af adgang for gældende tilladelser i artikel 331951 i Microsoft Knowledge Base. Artiklen er evt. på engelsk. (https://go.microsoft.com/fwlink/?LinkId=63270).

Oplysninger om brug af værktøjet Gældende tilladelser finder du under Vise gældende tilladelser til filer og mapper.

Yderligere referencer

Indholdsfortegnelse