Cada objeto tem um conjunto de permissões efetivas associado. A guia Permissões Efetivas da página de propriedades Configurações de Segurança Avançadas lista as permissões que seriam concedidas ao grupo ou usuário selecionado com base exclusivamente nas permissões concedidas diretamente por meio da associação de grupo. Para saber quais permissões um usuário ou grupo possui em um objeto, você pode usar a Ferramenta Permissões Efetivas.

Fatores usados para determinar as permissões efetivas

Os seguintes fatores são usados para determinar as permissões efetivas:

  • Membros do grupo global

  • Membros do grupo local

  • Permissões locais

  • Privilégios locais

  • Membro do grupo universal

Fatores que não são usados para determinar as permissões efetivas

Os conhecidos identificadores de segurança (SIDs) a seguir não são usados para determinar permissões efetivas:

  • Logon Anônimo

  • Em lotes, Grupo criador

  • Dialup

  • Controladores de domínio de empresa

  • Interativo

  • Rede

  • Proxy

  • Restrito

  • Remoto

  • Serviço

  • Sistema

  • Usuário do servidor de terminal

  • Outra organização

  • Esta organização

Além disso, as permissões de compartilhamento não fazem parte do cálculo de permissões efetivas. O acesso aos compartilhamentos pode ser negado através das permissões de compartilhamento, mesmo quando o acesso é permitido através de permissões de NTFS.

Fatores que não são usados para objetos acessados remotamente

Os seguintes fatores não são usados para determinar permissões efetivas de objetos acessados remotamente:

  • Associação de grupo local

  • Privilégios locais

  • Permissões de compartilhamento

As permissões efetivas se baseiam em uma avaliação local da associação de grupo do usuário, dos privilégios do usuário e das permissões. Se o recurso consultado estiver em um computador remoto, as permissões efetivas exibidas não incluirão permissões concedidas ou negadas ao usuário por meio do uso de um grupo local no computador remoto.

Recuperando permissões efetivas

Uma recuperação precisa das informações acima requer permissão de leitura das informações de participação. Se o usuário ou o grupo especificado for um objeto de domínio, você deverá ter permissão para ler as informações de grupo do objeto sobre o domínio.

Importante
  • Quando você usa a guia Permissões Efetivas para determinar as permissões que um usuário tem para certos recursos de um domínio, os resultados exibidos na interface do usuário podem ser inconsistentes com as permissões reais do usuário nesse recurso. Esse problema ocorre quando uma das seguintes condições é verdadeira:
    • Você executa as ferramentas administrativas remotamente no servidor de recursos.

    • A conta de usuário utilizada para executar as ferramentas administrativas não está no mesmo domínio do recurso.

  • Para evitar esse problema, sempre verifique as permissões efetivas localmente em um computador que hospede o recurso e verifique se a conta de usuário administrativa usada para executar a ferramenta está no mesmo domínio do recurso.

Estas são algumas permissões de domínio padrão relevantes:

  • Os administradores de domínio têm permissão para ler informações de participação sobre todos os objetos.

  • Os administradores locais em uma estação de trabalho ou em um servidor autônomo não podem ler as informações de participação de um usuário do domínio.

Ferramenta Permissões Efetivas

Para saber quais permissões um usuário ou grupo possui em um objeto, você pode usar a ferramenta Permissões Efetivas. Ela calcula as permissões concedidas ao usuário ou grupo especificado. O cálculo inclui as permissões efetivas da associação de grupo e todas as permissões herdadas do objeto pai. Ela pesquisa todos os grupos de domínio e locais dos quais o usuário ou o grupo é membro.

O grupo Todos sempre será incluído se o usuário ou o grupo selecionado não for membro do grupo Logon anônimo.

Importante
  • A ferramenta Permissões efetivas somente produz uma aproximação das permissões de um usuário. As permissões reais do usuário podem ser diferentes, pois elas podem ser concedidas ou negadas dependendo do modo de logon de um usuário. Essas informações específicas de logon não poderão ser determinadas pela ferramenta Permissões Efetivas se o usuário não estiver conectado; portanto, as permissões efetivas exibidas refletirão apenas aquelas especificadas pelo usuário ou grupo, e não as permissões especificadas pelo logon.
  • Por exemplo, se um usuário estiver conectado ao computador por uma pasta compartilhada, o logon desse usuário será marcado como logon de rede. As permissões podem ser concedidas ou negadas ao SID conhecido da rede que o usuário conectado recebe; portanto, quando está conectado localmente, o usuário tem permissões diferentes de quando está conectado pela rede.
  • Para obter informações sobre a concessão de acesso para permissões efetivas, consulte o artigo 331951 na Base de Dados de Conhecimento Microsoft (https://go.microsoft.com/fwlink/?LinkId=63270 [a página pode estar em inglês]).

Para obter informações sobre como usar a ferramenta Permissões Efetivas, consulte Exibir permissões efetivas em arquivos e pastas.

Referências adicionais

Sumário