如何确定有效权限

以下几项用于确定有效权限：

• 全局组成员身份
  
  
• 本地组成员身份
  
  
• 本地权限
  
  
• 本地特权
  
  
• 通用组成员身份
  
  

下列已知的安全标识符 (SID) 不用于确定有效权限：

• 匿名登录
  
  
• 批处理和创建者组
  
  
• 拨号
  
  
• 企业域控制器
  
  
• 交互
  
  
• 网络
  
  
• 代理
  
  
• 受限
  
  
• 远程
  
  
• 服务
  
  
• 系统
  
  
• 终端服务器用户
  
  
• 其他组织
  
  
• 此组织
  
  

此外，共享权限不是有效权限计算的一部分。即使允许通过 NTFS 权限进行访问时，也可通过共享权限拒绝访问共享。

以下几项不用于确定远程访问的对象的有效权限：

• 本地组成员身份
  
  
• 本地特权
  
  
• 共享权限
  
  

有效权限基于对用户组成员身份、用户特权以及权限的本地评估。如果正在查询的资源在远程计算机上，则所显示的有效权限将不包括通过使用远程计算机上的本地组授权用户或拒绝用户的权限。

准确检索上述信息需要读取成员身份信息的权限。如果指定的用户或组为域对象，则您必须具有读取有关域的对象的组信息的权限。

	重要
	在使用“有效权限”选项卡确定用户对域中的特定资源所具有的权限时，用户界面中显示的结果可能会与用户对该资源所具有的实际权限不一致。当存在下列任一情况时，便会出现此问题： 从资源服务器远程运行管理工具。 用来运行管理工具的用户帐户没有与资源位于相同的域中。 为了避免出现此问题，应始终在承载资源的计算机上以本地方式检查有效权限，并确保用来运行工具的管理用户帐户与该资源位于相同的域中。

以下是一些相关的默认域权限：

• 域管理员具有读取有关所有对象的成员身份信息的权限。
  
  
• 工作站或独立服务器上的本地管理员不能读取域用户的成员身份信息。
  
  

如果要查找用户或组对于对象具有哪些权限，可以使用有效权限工具。它可以计算指定用户或组授予的权限。该计算包括基于组成员身份的权限以及从父对象继承的任何权限。另外，还会查找用户或组作为其成员的所有域和本地组。

只要所选用户或者组不是 Anonymous Logon 组的成员，则将始终包括 Everyone 组。

	重要
	“有效权限”工具只生成用户拥有的权限的近似值。由于可根据用户登录的方式授予或拒绝权限，因此用户具有的实际权限可能不同。如果用户尚未登录，则有效权限工具无法确定该登录特定信息；因此，它显示的有效权限只反映用户或组指定的那些权限，而不是登录指定的权限。 例如，如果用户通过共享文件夹连接到此计算机，则该用户的登录将标记为网络登录。可以授予或拒绝对连接的用户接收的网络公认 SID 的权限，因此用户在本地登录时具有的权限与通过网络登录时具有的权限不同。 有关授予访问有效权限的信息，请参阅 Microsoft 知识库文章 331951 (https://go.microsoft.com/fwlink/?LinkId=63270)。

有关使用有效权限工具的信息，请参阅查看文件和文件夹上的有效权限。

其他参考

• 管理权限