Действующие разрешения в Windows Server 2008 R2
Поэтому я создал виртуальный жесткий диск для проверки некоторых разрешений на компьютере, подключенном к домену.
VHD монтируется как E:\
Внутри E:\ я создал папку с именем web (так e:\web)
Я щелкаю правой кнопкой мыши на веб-папке в E, захожу в Свойства> Безопасность> Дополнительно
Вот как выглядит моя вкладка разрешений
Если я нажму на вкладку "Действующие разрешения" и введу имя пользователя, я предполагаю, что если этот пользователь является членом моей локальной группы администраторов или группы локальных пользователей, он должен иметь полный доступ (для администраторов), и если они являются пользователями, они будут иметь читать / выполнять завивки.
Однако, когда я ввожу имя кого-то, кто не является членом локальной группы администраторов, а является просто обычным пользователем в домене, я получаю следующее
Что здесь происходит? Это как-то связано с локальной группой "Пользователи", имеющей права на чтение и выполнение для папки? Is there some way to lock out standard domain users from being able to view this folder?
2 ответа
Так что я понял это. Ответ достаточно прост. Когда компьютер присоединяется к домену Windows, к локальной группе "Пользователи" добавляется глобальная группа "Пользователи домена". Именно поэтому пользователи смогли пройти аутентификацию в этой папке.
Документация Windows Server гласит, что функция "Эффективное разрешение" в проводнике Windows предоставляет только приблизительные значения реальных эффективных разрешений, которые применяются к пользователю. Вы можете прочитать здесь или поискать скучные одни и те же слова... Проводник Windows не разрешает всю цепочку разрешений для объекта файловой системы, в случае вложенных групп AD или междоменных (или поддоменовых) учетных записей Проводник Windows не отображается в вам настоящие разрешения. Чтобы проверить всю цепочку разрешений, основываясь на реальных разрешениях для файловой системы, вам нужно использовать внешний инструмент или систему, такую как Data Rover EP. Это было действительно решающим для нужд моей компании (... и это позволило мне сделать хорошее впечатление с моим боссом : P).