Hvert objekt har tilknyttede tillatelser. Kategorien Gjeldende tillatelser på egenskapssiden for Avanserte sikkerhetsinnstillinger viser en liste over tillatelsene som blir gitt til den valgte gruppen eller brukeren basert utelukkende på tillatelser gitt direkte gjennom gruppemedlemskap. Hvis du vil finne ut hvilke tillatelser en bruker eller gruppe har for et objekt, kan du bruke verktøyet Gjeldende tillatelser.

Faktorer som brukes til å avgjøre gjeldende tillatelser

Følgende brukes til å avgjøre gjeldende tillatelser:

  • Medlemskap i global gruppe

  • Medlemskap i lokal gruppe

  • Lokale tillatelser

  • Lokale privilegier

  • Medlemskap i universal gruppe

Faktorer som ikke brukes til å avgjøre gjeldende tillatelser

Følgende kjente sikkerhetsidentifikatorer brukes ikke til å avgjøre gjeldende tillatelser:

  • Anonym pålogging

  • Satsvis jobb, Oppretter Gruppe

  • Oppringing

  • Domenekontrollere i organisasjonen

  • Interaktiv

  • Nettverk

  • Proxy

  • Begrenset

  • Ekstern

  • Tjeneste

  • System

  • Terminal Server-bruker

  • Annen organisasjon

  • Denne organisasjonen

Delingstillatelser er heller ikke en del av beregningen av gjeldende tillatelser. Tilgang til delte ressurser kan avslås gjennom delingstillatelser selv når tilgang er tillatt i NTFS-tillatelser.

Faktorer som ikke brukes for objekter du har ekstern tilgang til

Følgende brukes ikke til å avgjøre gjeldende tillatelser for objekter du har ekstern tilgang til:

  • Medlemskap i lokal gruppe

  • Lokale privilegier

  • Delingstillatelser

Gjeldende tillatelser er basert på en lokal evaluering av brukerens gruppemedlemskap, brukerprivilegier og tillatelser. Hvis den forespurte ressursen er på en ekstern datamaskin, omfatter ikke de gjeldende tillatelsene som vises, tillatelser som er tillatt eller avslått for brukeren gjennom bruk av en lokal gruppe på den eksterne datamaskinen.

Hente gjeldende tillatelser

Nøyaktig henting av den ovennevnte informasjonen krever tillatelse til å lese medlemskapsinformasjonen. Hvis den angitte brukeren eller gruppen er et domeneobjekt, må du ha tillatelse til å lese objektets gruppeinformasjon om domenet.

Viktig!
  • Når du bruker kategorien Gjeldende tillatelser til å finne ut hvilke tillatelser en bruker har for bestemte ressurser i et domene, kan resultatene som vises i brukergrensesnittet, være inkonsekvente med de faktiske tillatelsene brukeren har for ressursene. Dette problemet oppstår når en av følgende betingelser er sann:
    • Du kjører de administrative verktøyene eksternt fra ressursserveren.

    • Brukerkontoen du bruker til å kjøre de administrative verktøyene, er ikke i samme domene som ressursen.

  • Du kan unngå dette problemet ved alltid å kontrollere de gjeldende tillatelsene lokalt på en datamaskin som er vert for ressursen, og påse at den administrative brukerkontoen som brukes til å kjøre verktøyet, er i samme domene som ressursen.

Følgende er eksempler på relevante standardtillatelser for domene:

  • Domeneadministratorer har tillatelse til å lese medlemskapsinformasjon om alle objekter.

  • Lokale administratorer på en arbeidsstasjon eller frittstående server kan ikke lese medlemskapsinformasjon for en domenebruker.

Verktøyet Gjeldende tillatelser

Hvis du vil finne ut hvilke tillatelser en bruker eller gruppe har for et objekt, kan du bruke verktøyet Gjeldende tillatelser. Det beregner tillatelsene som er gitt til den bestemte brukeren eller gruppen. Beregningen omfatter tillatelsene fra gruppemedlemskap og tillatelser som er arvet fra det overordnede objektet. Den slår opp alle domener og lokale grupper der brukeren eller gruppen er medlem.

Gruppen Alle tas alltid med, så lenge den valgte brukergruppen ikke er medlem av gruppen Anonym pålogging.

Viktig!
  • Verktøyet Gjeldende tillatelser gir et anslag av tillatelsene en bruker har. De faktiske tillatelsene som brukeren har, kan være annerledes fordi tillatelser kan gis eller avslås basert på hvordan en bruker logger på. Denne påloggingsspesifikke informasjonen kan ikke avgjøres av verktøyet Gjeldende tillatelser hvis brukeren ikke er logget på, og derfor gjenspeiler de viste gjeldende tillatelsene bare de tillatelsene som er angitt av brukeren eller gruppen, og ikke tillatelsene som er angitt av påloggingen.
  • Hvis for eksempel en bruker er koblet til denne datamaskinen gjennom en delt mappe, er påloggingen for den brukeren merket som en nettverkspålogging. Tillatelser kan gis eller avslås til den kjente nettverks-SIDen som den tilkoblede brukeren mottar, slik at en bruker har ulike tillatelser ved pålogging lokalt og ved pålogging over et nettverk.
  • Se artikkel 331951 i Microsoft Knowledge Base (https://go.microsoft.com/fwlink/?LinkId=63270) (kan være på engelsk) hvis du vil ha mer informasjon om hvordan du gir tilgang for gjeldende tillatelser.

Se Vise gjeldende tillatelser for filer og mapper hvis du vil ha informasjon om hvordan du bruker verktøyet Gjeldende tillatelser.

Flere referanser

Innholdsfortegnelse