Zu jedem Objekt gehört ein Satz effektiver Berechtigungen. Auf der Registerkarte Effektive Berechtigungen der Eigenschaftenseite Erweiterte Sicherheitseinstellungen werden die Berechtigungen aufgeführt, die der ausgewählten Gruppe oder dem Benutzer allein auf der Grundlage der Berechtigungen erteilt werden, die direkt über die Gruppenmitgliedschaft erteilt wurden. Wenn Sie herausfinden möchten, welche Berechtigungen ein Benutzer oder eine Gruppe für ein Objekt besitzt, können Sie das Tool "Effektive Berechtigungen" verwenden.
Faktoren, die zum Bestimmen effektiver Berechtigungen verwendet werden
Anhand der folgenden Kriterien werden effektive Berechtigungen bestimmt:
-
Globale Gruppenmitgliedschaft
-
Lokale Gruppenmitgliedschaft
-
Lokale Berechtigungen
-
Lokale Privilegien
-
Universelle Gruppenmitgliedschaft
Faktoren, die nicht zum Bestimmen effektiver Berechtigungen verwendet werden
Die folgenden bekannten Sicherheitskennungen werden nicht zum Bestimmen effektiver Berechtigungen verwendet:
-
Anonymous-Anmeldung
-
Batch, Erstellergruppe
-
Dialup
-
Domänencontroller der Organisation
-
Interaktiv
-
Netzwerk
-
Proxy
-
Eingeschränkt
-
Remote
-
Dienst
-
System
-
Terminalserverbenutzer
-
Andere Organisation
-
Diese Organisation
Freigabeberechtigungen werden außerdem bei der Bestimmung der effektiven Berechtigungen nicht berücksichtigt. Der Zugriff auf Freigaben kann auch dann durch Freigabeberechtigungen verweigert werden, wenn der Zugriff durch NTFS-Berechtigungen zugelassen wird.
Faktoren, die nicht für Objekte verwendet werden, auf die remote zugegriffen wird
Die folgenden Kriterien werden nicht zum Bestimmen effektiver Berechtigungen für Objekte verwendet, auf die remote zugegriffen wird:
-
Lokale Gruppenmitgliedschaft
-
Lokale Rechte
-
Freigabeberechtigungen
Die effektiven Berechtigungen basieren auf einer lokalen Auswertung der Gruppenmitgliedschaft, der Benutzerrechte und der Berechtigungen des Benutzers. Befindet sich die abgefragte Ressource auf einem Remotecomputer, beinhalten die angezeigten effektiven Berechtigungen keine Berechtigungen, die dem Benutzer durch Verwenden einer lokalen Gruppe auf dem Remotecomputer erteilt bzw. verweigert werden.
Abrufen von effektiven Berechtigungen
Für das genaue Abrufen der oben genannten Informationen ist die Berechtigung zum Lesen der Mitgliedschaftsinformationen erforderlich. Wenn es sich bei dem angegebenen Benutzer oder der angegebenen Gruppe um ein Domänenobjekt handelt, müssen Sie über die Berechtigung zum Lesen der Gruppeninformationen des Objekts über die Domäne verfügen.
Wichtig | |
|
Beispiele für relevante Standarddomänenberechtigungen:
-
Domänenadministratoren verfügen über die Berechtigung zum Lesen von Mitgliedschaftsinformationen für alle Objekte.
-
Lokale Administratoren an einer Arbeitsstation oder an einem eigenständigen Server können keine Mitgliedschaftsinformationen für einen Domänenbenutzer lesen.
Tool "Effektive Berechtigungen"
Wenn Sie herausfinden möchten, welche Berechtigungen ein Benutzer oder eine Gruppe für ein Objekt besitzt, können Sie das Tool Effektive Berechtigungen verwenden. Es ermittelt die dem angegebenen Benutzer oder der angegebenen Gruppe erteilten Berechtigungen. Die Berechnung umfasst die gültigen Berechtigungen aus der Gruppenmitgliedschaft und alle vom übergeordneten Objekt geerbten Berechtigungen. Dabei werden alle Domänen- und lokalen Gruppen durchsucht, denen der Benutzer oder die Gruppe angehört.
Die Gruppe Jeder ist immer enthalten, soweit der Benutzer oder die Gruppe kein Mitglied der Gruppe Anonymous-Anmeldung ist.
Wichtig | |
|
Informationen zum Verwenden des Tools Effektive Berechtigungen finden Sie unter Anzeigen der effektiven Berechtigungen zu Dateien und Ordnern.
Weitere Verweise