A ogni oggetto è associato un set di autorizzazioni. La scheda Autorizzazioni valide della pagina delle proprietà Impostazioni di sicurezza avanzate contiene l'elenco delle autorizzazioni che verrebbero concesse al gruppo o all'utente selezionato esclusivamente in base alle autorizzazioni concesse direttamente tramite l'appartenenza al gruppo. Se si desidera individuare le autorizzazioni di un utente o di un gruppo per un oggetto, è possibile utilizzare lo strumento Autorizzazioni valide.

Fattori considerati per determinare le autorizzazioni valide

I fattori presi in considerazione per determinare le autorizzazioni valide sono i seguenti:

  • Appartenenza al gruppo globale

  • Appartenenza al gruppo locale

  • Autorizzazioni locali

  • Privilegi locali

  • Appartenenza a un gruppo universale

Fattori non considerati per determinare le autorizzazioni valide

Gli identificatori di sicurezza (SID) elencati di seguito non vengono presi in considerazione per determinare le autorizzazioni valide:

  • Accesso anonimo

  • Gruppo Creator, Batch

  • Dialup

  • Enterprise Domain Controllers

  • Interattive

  • Rete

  • Proxy

  • Restrizioni

  • Remoto

  • Servizio

  • Sistema

  • Utente di Terminal Server

  • Altra organizzazione

  • Questa organizzazione

Inoltre, le autorizzazioni di condivisione non rientrano nella valutazione delle autorizzazioni valide. L'accesso alle condivisioni può essere negato attraverso le autorizzazioni di condivisione anche quando è consentito attraverso le autorizzazioni NTFS.

Fattori non considerati per gli oggetti cui si accede in remoto

I fattori non considerati per determinare le autorizzazioni valide per oggetti cui si accede in remoto sono i seguenti:

  • Appartenenza al gruppo locale

  • Privilegi locali

  • Autorizzazioni di condivisione

Le autorizzazioni valide sono basate su una valutazione locale dell'appartenenza al gruppo dell'utente, dei privilegi dell'utente e delle autorizzazioni. Se la risorsa a cui si riferisce la query si trova in un computer remoto, nelle autorizzazioni valide visualizzate non saranno incluse le autorizzazioni concesse o negate all'utente mediante l'utilizzo di un gruppo locale sul computer remoto.

Recuperare le autorizzazioni valide

Per il recupero accurato delle informazioni precedentemente elencate è richiesta l'autorizzazione alla lettura delle informazioni di appartenenza. Se l'utente o il gruppo specificato è un oggetto dominio, è necessario disporre dell'autorizzazione alla lettura delle informazioni di gruppo dell'oggetto sul dominio.

Importante
  • Quando si utilizza la scheda Autorizzazioni valide per determinare le autorizzazioni di cui dispone un utente per determinate risorse in un dominio, i risultati visualizzati nell'interfaccia utente potrebbero non essere coerenti con le effettive autorizzazioni dell'utente per la risorsa. Questo problema si verifica in uno dei casi seguenti:
    • Gli strumenti di amministrazione vengono eseguiti in remoto dal server della risorsa.

    • L'account utente utilizzato per eseguire gli strumenti di amministrazione non fa parte dello stesso dominio della risorsa.

  • Per evitare questo problema, verificare sempre le autorizzazioni valide localmente in un computer che ospita la risorsa e assicurarsi che l'account utente amministrativo utilizzato per eseguire lo strumento faccia parte dello stesso dominio della risorsa.

Di seguito sono elencate alcune principali autorizzazioni predefinite per il dominio:

  • Gli amministratori di dominio dispongono dell'autorizzazione alla lettura delle informazioni di appartenenza di tutti gli oggetti.

  • Gli amministratori locali di una workstation o di un server autonomo possono leggere le informazioni di appartenenza di un utente del dominio.

Strumento Autorizzazioni valide

Se si desidera individuare le autorizzazioni di un utente o un gruppo per un oggetto, è possibile utilizzare lo strumento Autorizzazioni valide. Questo strumento consente di valutare le autorizzazioni concesse all'utente o gruppo specificato. Vengono considerate le autorizzazioni in vigore a livello di appartenenza a un gruppo e tutte le autorizzazioni ereditate dall'oggetto padre. La ricerca viene eseguita su tutti i gruppi di dominio e locali di cui è membro l'utente o il gruppo specificato.

Il gruppo Everyone viene sempre incluso, a meno che l'utente o il gruppo selezionato non sia membro del gruppo Accesso anonimo.

Importante
  • Lo strumento Autorizzazioni valide riproduce solo un'approssimazione delle autorizzazioni concesse a un utente. Le autorizzazioni valide dell'utente possono differire, in quanto possono essere concesse o negate in base alla modalità di accesso dell'utente. Poiché le informazioni relative all'accesso non possono essere determinate dallo strumento Autorizzazioni valide se l'utente non è connesso, le autorizzazioni visualizzate nello strumento riflettono solo quelle specificate dall'utente o dal gruppo e non quelle specificate dall'accesso.
  • Se ad esempio un utente è connesso al computer attraverso una cartella condivisa, l'accesso di tale utente risulterà contrassegnato come accesso alla rete. Poiché le autorizzazioni possono essere concesse o negate al SID di rete noto ricevuto dall'utente connesso, un utente potrà disporre di autorizzazioni diverse a seconda che sia connesso localmente o tramite una rete.
  • Per informazioni sulla concessione dell'accesso per autorizzazioni valide, vedere l'articolo 331951 della Microsoft Knowledge Base (https://go.microsoft.com/fwlink/?LinkId=63270).

Per ulteriori informazioni sull'utilizzo dello strumento Autorizzazioni valide, vedere Visualizzare le autorizzazioni valide per file e cartelle.

Ulteriori riferimenti


Argomenti della Guida