Действующие разрешения в Windows Server 2008 R2

2154
Richie086

Поэтому я создал виртуальный жесткий диск для проверки некоторых разрешений на компьютере, подключенном к домену.

VHD монтируется как E: \

Внутри E: \ я создал папку с именем web (т.е. e: \ web)

Я щелкаю правой кнопкой мыши на веб-папке в E, захожу в Свойства> Безопасность> Дополнительно

Вот как выглядит моя вкладка разрешений

Действующие разрешения в Windows Server 2008 R2

Если я нажму на вкладку «Действующие разрешения» и введу имя пользователя, я предполагаю, что если этот пользователь является членом моей локальной группы администраторов или группы локальных пользователей, у них должен быть полный доступ (для администраторов), и если они являются пользователями, они будут иметь читать / выполнять завивки.

Однако, когда я ввожу имя кого-то, кто не является членом локальной группы администраторов, а является просто обычным пользователем в домене, я получаю следующее

Действующие разрешения в Windows Server 2008 R2

Что здесь происходит? Это как-то связано с локальной группой «Пользователи», имеющей права на чтение и выполнение папки? Есть ли какой-нибудь способ заблокировать обычных пользователей домена от возможности просмотра этой папки?

1

2 ответа на вопрос

0
Richie086

Так что я понял это. Ответ достаточно прост. Когда компьютер присоединяется к домену Windows, к локальной группе «Пользователи» добавляется глобальная группа «Пользователи домена». Именно поэтому пользователи смогли пройти аутентификацию в этой папке.

Не объясняется, почему у них есть разрешения «Создание файлов / запись данных» и «Создание папок / добавление данных». Что скрывается под «Специальными» разрешениями, которые есть у группы «Пользователи»? Scott 10 лет назад 0
0
Gizeh

the Windows Server documentation states that the Effective Permission feature on Windows Explorer provides only an approximation of the real effective permissions that apply to a user. You can read here or googling about the boring same words... Windows Explorer does not resolve an entire permissions chain on a file system object, in case of nested AD groups or cross-domain (or subdomain) accounts Windows Explorer does not show to you the real permissions. To verify the entire permissions chain, based on real permissions on file system, you need to use a external tool or system like Data Rover EP.It was really decisive for the needs of my company (...and it allowed me to make a good impression with my boss :P ).

Похожие вопросы