Aan elk object is een set effectieve machtigingen gekoppeld. Op het tabblad Effectieve machtigingen van het eigenschappenblad Geavanceerde beveiligingsinstellingen worden de machtigingen weergegeven die uitsluitend op basis van groepslidmaatschappen worden toegewezen aan de geselecteerde groep of gebruiker. Als u wilt weten welke machtigingen een gebruiker of groep voor een object heeft, kunt u het hulpprogramma Effectieve machtigingen gebruiken.

Factoren waarmee rekening wordt gehouden bij het bepalen van de effectieve machtigingen

Met het volgende wordt rekening gehouden bij het bepalen van de effectieve machtigingen:

  • Lidmaatschap van globale groepen

  • Lidmaatschap van lokale groepen

  • Lokale machtigingen

  • Lokale bevoegdheden

  • Universeel groepslidmaatschap

Factoren waarmee geen rekening wordt gehouden bij het bepalen van de effectieve machtigingen

De volgende bekende beveiligings-id's (Security Identifiers, SID's) worden niet gebruikt om effectieve machtigingen te bepalen:

  • Anonieme aanmelding

  • Batch, Maker Groep

  • Inbellen

  • Ondernemingsdomeincontrollers

  • Interactief

  • Netwerk

  • Proxy

  • Beperkt

  • Extern

  • Service

  • Systeem

  • Terminal Server-gebruiker

  • Andere organisatie

  • Deze organisatie

Bij het bepalen van de effectieve machtigingen wordt geen rekening gehouden met sharemachtigingen. Op basis van sharemachtigingen kan de toegang tot shares worden geweigerd, zelfs wanneer de toegang op basis van NTFS-machtigingen is toegestaan.

Factoren waarmee geen rekening wordt gehouden bij objecten waartoe extern toegang wordt verkregen

Met het volgende wordt geen rekening gehouden bij het bepalen van effectieve machtigingen voor objecten waartoe extern toegang wordt verkregen:

  • Lidmaatschap van lokale groepen

  • Lokale bevoegdheden

  • Sharemachtigingen

Effectieve machtigingen zijn gebaseerd op een lokale evaluatie van het groepslidmaatschap van de gebruiker, de bevoegdheden van de gebruiker en de machtigingen. Als de doorzochte bron zich op een externe computer bevindt, omvatten de weergegeven effectieve machtigingen geen machtigingen die door middel van een lokale groep op de externe computer aan de gebruiker zijn toegewezen of geweigerd.

Effectieve machtigingen opvragen

U kunt alleen nauwkeurige informatie over de bovengenoemde machtigingen opvragen als u beschikt over de machtiging om lidmaatschapsgegevens te lezen. Als de opgegeven gebruiker of groep een domeinobject is, moet u gemachtigd zijn de groepsgegevens van het object op het domein te lezen.

Belangrijk
  • Wanneer u het tabblad Effectieve machtigingen gebruikt om te bepalen welke machtigingen een gebruiker heeft voor bepaalde bronnen in een domein, komen de resultaten die in de gebruikersinterface worden weergegeven mogelijk niet overeen met de werkelijke machtigingen van de gebruiker voor die bron. Dit probleem kan optreden wanneer een van de volgende voorwaarden waar is:
    • U voert de beheerprogramma's extern uit vanaf de bronserver.

    • Het gebruikersaccount waarmee u de beheerprogramma's uitvoert, bevindt zich niet in hetzelfde domein als de bron.

  • U kunt dit probleem voorkomen door effectieve machtigingen altijd lokaal te controleren op een computer waarop de bron zich bevindt en ervoor te zorgen dat het administratieve gebruikersaccount waarmee het hulpprogramma wordt uitgevoerd zich in hetzelfde domein bevindt als de bron.

Hier zijn enkele relevante standaarddomeinmachtigingen:

  • Domeinadministrators zijn gemachtigd om lidmaatschapsgegevens van alle objecten te lezen.

  • Lokale beheerders op een werkstation of zelfstandige server kunnen geen lidmaatschapsgegevens lezen van een domeingebruiker.

Het hulpprogramma Effectieve machtigingen

Als u wilt weten welke machtigingen een gebruiker of groep voor een object heeft, kunt u het hulpprogramma Effectieve machtigingen gebruiken. Het programma bepaalt welke machtigingen worden verleend aan de opgegeven gebruiker of groep. Hierbij wordt rekening gehouden met de machtigingen die voor het groepslidmaatschap gelden en alle machtigingen die van het bovenliggende object zijn overgenomen. Alle domeingroepen en lokale groepen worden opgezocht waarvan de gebruiker of groep lid is.

De groep Iedereen wordt altijd opgenomen, tenzij de geselecteerde gebruiker of groep lid is van de groep Anonieme aanmelding.

Belangrijk
  • Met het hulpprogramma Effectieve machtigingen kunt u de machtigingen van een gebruiker slechts bij benadering bepalen. De feitelijke machtigingen kunnen afwijken, omdat machtigingen worden verleend of ingetrokken afhankelijk van de manier waarop de gebruiker zich aanmeldt. Deze gegevens die specifiek zijn voor de aanmelding, kunnen met het hulpprogramma Effectieve machtigingen niet worden bepaald als de gebruiker niet is aangemeld. De weergegeven effectieve machtigingen laten alleen de machtigingen zien die zijn toegewezen aan de gebruiker of de groep, en niet de machtigingen die worden toegewezen bij de aanmelding.
  • Als een gebruiker bijvoorbeeld via een gedeelde map is verbonden met deze computer, wordt de aanmelding voor die gebruiker gemarkeerd als een netwerkaanmelding. Machtigingen kunnen worden verleend of geweigerd aan de bekende netwerkbeveiligings-id (SID) die de gebruiker met de verbinding ontvangt. Gebruikers hebben dus andere machtigingen wanneer ze lokaal zijn aangemeld dan wanneer ze via een netwerk zijn aangemeld.
  • Zie artikel 331951 in de Microsoft Knowledge Base (https://go.microsoft.com/fwlink/?LinkId=63270) voor informatie over het verlenen van toegang voor effectieve machtigingen (pagina is mogelijk Engelstalig).

Zie Effectieve machtigingen voor bestanden en mappen weergeven voor meer informatie over het gebruik van het hulpprogramma Effectieve machtigingen.

Aanvullende naslaginformatie


Inhoudsopgave