Zu jedem Objekt gehört ein Satz effektiver Berechtigungen. Auf der Registerkarte Effektive Berechtigungen der Eigenschaftenseite Erweiterte Sicherheitseinstellungen werden die Berechtigungen aufgeführt, die der ausgewählten Gruppe oder dem Benutzer allein auf der Grundlage der Berechtigungen erteilt werden, die direkt über die Gruppenmitgliedschaft erteilt wurden. Wenn Sie herausfinden möchten, welche Berechtigungen ein Benutzer oder eine Gruppe für ein Objekt besitzt, können Sie das Tool "Effektive Berechtigungen" verwenden.

Faktoren, die zum Bestimmen effektiver Berechtigungen verwendet werden

Anhand der folgenden Kriterien werden effektive Berechtigungen bestimmt:

  • Globale Gruppenmitgliedschaft

  • Lokale Gruppenmitgliedschaft

  • Lokale Berechtigungen

  • Lokale Privilegien

  • Universelle Gruppenmitgliedschaft

Faktoren, die nicht zum Bestimmen effektiver Berechtigungen verwendet werden

Die folgenden bekannten Sicherheitskennungen werden nicht zum Bestimmen effektiver Berechtigungen verwendet:

  • Anonymous-Anmeldung

  • Batch, Erstellergruppe

  • Dialup

  • Domänencontroller der Organisation

  • Interaktiv

  • Netzwerk

  • Proxy

  • Eingeschränkt

  • Remote

  • Dienst

  • System

  • Terminalserverbenutzer

  • Andere Organisation

  • Diese Organisation

Freigabeberechtigungen werden außerdem bei der Bestimmung der effektiven Berechtigungen nicht berücksichtigt. Der Zugriff auf Freigaben kann auch dann durch Freigabeberechtigungen verweigert werden, wenn der Zugriff durch NTFS-Berechtigungen zugelassen wird.

Faktoren, die nicht für Objekte verwendet werden, auf die remote zugegriffen wird

Die folgenden Kriterien werden nicht zum Bestimmen effektiver Berechtigungen für Objekte verwendet, auf die remote zugegriffen wird:

  • Lokale Gruppenmitgliedschaft

  • Lokale Rechte

  • Freigabeberechtigungen

Die effektiven Berechtigungen basieren auf einer lokalen Auswertung der Gruppenmitgliedschaft, der Benutzerrechte und der Berechtigungen des Benutzers. Befindet sich die abgefragte Ressource auf einem Remotecomputer, beinhalten die angezeigten effektiven Berechtigungen keine Berechtigungen, die dem Benutzer durch Verwenden einer lokalen Gruppe auf dem Remotecomputer erteilt bzw. verweigert werden.

Abrufen von effektiven Berechtigungen

Für das genaue Abrufen der oben genannten Informationen ist die Berechtigung zum Lesen der Mitgliedschaftsinformationen erforderlich. Wenn es sich bei dem angegebenen Benutzer oder der angegebenen Gruppe um ein Domänenobjekt handelt, müssen Sie über die Berechtigung zum Lesen der Gruppeninformationen des Objekts über die Domäne verfügen.

Wichtig
  • Wenn Sie mithilfe der Registerkarte Effektive Berechtigungen die Berechtigungen bestimmen, die ein Benutzer für bestimmte Ressourcen in einer Domäne besitzt, sind die auf der Benutzeroberfläche angezeigten Ergebnisse möglicherweise inkonsistent mit den tatsächlichen Berechtigungen des Benutzers für diese Ressource. Dieses Problem tritt auf, wenn eine der folgenden Bedingungen zutrifft:
    • Sie führen die Verwaltungstools remote auf dem Ressourcenserver aus.

    • Das Benutzerkonto, das Sie zum Ausführen der Verwaltungstools verwenden, befindet sich nicht in derselben Domäne wie die Ressource.

  • Wenn Sie dieses Problem vermeiden möchten, überprüfen Sie die effektiven Berechtigungen immer lokal auf einem Computer, auf dem die Ressource gehostet wird, und stellen Sie sicher, dass sich das Administratorkonto, unter dem das Tool ausgeführt wird, in derselben Domäne wie die Ressource befindet.

Beispiele für relevante Standarddomänenberechtigungen:

  • Domänenadministratoren verfügen über die Berechtigung zum Lesen von Mitgliedschaftsinformationen für alle Objekte.

  • Lokale Administratoren an einer Arbeitsstation oder an einem eigenständigen Server können keine Mitgliedschaftsinformationen für einen Domänenbenutzer lesen.

Tool "Effektive Berechtigungen"

Wenn Sie herausfinden möchten, welche Berechtigungen ein Benutzer oder eine Gruppe für ein Objekt besitzt, können Sie das Tool Effektive Berechtigungen verwenden. Es ermittelt die dem angegebenen Benutzer oder der angegebenen Gruppe erteilten Berechtigungen. Die Berechnung umfasst die gültigen Berechtigungen aus der Gruppenmitgliedschaft und alle vom übergeordneten Objekt geerbten Berechtigungen. Dabei werden alle Domänen- und lokalen Gruppen durchsucht, denen der Benutzer oder die Gruppe angehört.

Die Gruppe Jeder ist immer enthalten, soweit der Benutzer oder die Gruppe kein Mitglied der Gruppe Anonymous-Anmeldung ist.

Wichtig
  • Das Tool Effektive Berechtigungen erzeugt nur eine ungefähre Angabe der Berechtigungen, über die ein Benutzer verfügt. Die tatsächlichen Berechtigungen, über die der Benutzer verfügt, sind möglicherweise anders, da Berechtigungen auf der Grundlage der Anmeldung eines Benutzers erteilt oder verweigert werden können. Diese anmeldespezifischen Informationen können nicht vom Tool Effektive Berechtigungen bestimmt werden, wenn der Benutzer nicht angemeldet ist; daher spiegeln die damit angezeigten effektiven Berechtigungen nur Berechtigungen wider, die vom Benutzer oder von der Gruppe angegeben werden, und nicht die von der Anmeldung angegebenen Berechtigungen.
  • Wenn ein Benutzer beispielsweise über einen freigegebenen Ordner mit diesem Computer verbunden ist, wird die Anmeldung für diesen Benutzer als Netzwerkanmeldung gekennzeichnet. Berechtigungen können der im Netzwerk bekannten SID erteilt oder verweigert werden, die der verbundene Benutzer erhält. Demnach besitzt ein Benutzer andere Berechtigungen, wenn er lokal angemeldet ist, als wenn er über ein Netzwerk angemeldet ist.
  • Informationen zum Erteilen des Zugriffs für effektive Berechtigungen finden Sie im Artikel 331951 in der Microsoft Knowledge Base unter https://go.microsoft.com/fwlink/?LinkId=63270 (möglicherweise in englischer Sprache).

Informationen zum Verwenden des Tools Effektive Berechtigungen finden Sie unter Anzeigen der effektiven Berechtigungen zu Dateien und Ordnern.

Weitere Verweise

Inhaltsverzeichnis