Im Fenster „Effektive Berechtigungen“ im Windows Explorer können Sie einen Benutzer- oder Gruppennamen eingeben und sehen, welche Berechtigungen dieser Benutzer oder diese Gruppe für die jeweilige Datei hat.
Der hervorgehobene Text verwirrt mich etwas:
„…basierend ausschließlich auf den Berechtigungen, die direkt durch die Gruppenmitgliedschaft erteilt werden“
Im Beispiel erhält der betroffene Benutzer keinerlei Berechtigungen durch die Mitgliedschaft in einer Gruppe - alle Berechtigungseinträge sind nur für den Benutzer definiert. Die angezeigten Berechtigungen sind jedoch korrekt.
Der Wortlaut lässt vermuten, dass das Fenster nur Berechtigungen anzeigt, die einer Gruppe erteilt wurden, deren Mitglied der Benutzer ist. Das kann aber nicht stimmen, da dieser Benutzer nur Berechtigungen erhält, die ihm speziell erteilt wurden, nicht durch die Gruppenmitgliedschaft. Was bedeutet dieser Text also?
Antwort1
In der Windows Server-Dokumentation heißt es, dass die Funktion „Effektive Berechtigungen“ im Windows Explorerbietet nur eine Annäherung an die tatsächlich effektiven Berechtigungendie für einen Benutzer gelten. Sie können lesenHieroder googeln Sie nach den langweiligen gleichen Wörtern ... Der Windows Explorer löst keine vollständige Berechtigungskette für ein Dateisystemobjekt auf. Bei verschachtelten AD-Gruppen oder domänenübergreifenden (oder unterdomänenübergreifenden) Konten zeigt Ihnen der Windows Explorer nicht die tatsächlichen Berechtigungen an. Um die gesamte Berechtigungskette basierend auf den tatsächlichen Berechtigungen für das Dateisystem zu überprüfen, müssen Sie ein externes Tool oder System wie verwendenZugriffsprüfungoder Niu Lang (Entschuldigung für den Link: mein Ruf ist zu niedrig).
Antwort2
In der Hilfe zur Registerkarte „Effektive Berechtigungen“ heißt es: „Wenn Sie herausfinden möchten, welche Berechtigungen ein Benutzer oder eine Gruppe für ein Objekt hat, können Sie das Tool „Effektive Berechtigungen“ verwenden.“
Dies ist also ein Tool, mit dem Sie Ihre Sicherheit testen können, um zu sehen, ob und wie sie funktioniert. Wenn Sie Berechtigungen einrichten, blicken Sie letztendlich nach außen auf den Umzäunungszaun um Ihren Garten. Wenn Sie sich wirksame Berechtigungen ansehen, blicken Sie von der Außenwelt nach innen, um zu sehen, welche Türen für eine bestimmte Person (oder Gruppe) geöffnet sind.
Klicken Sie zunächst rechts neben „Gruppen- oder Benutzername:“ auf „Auswählen“. Daraufhin wird dieses Dialogfeld angezeigt:
Klicken Sie auf „Objekttypen...“ und aktivieren Sie zunächst nur „Benutzer“. Klicken Sie dann auf „OK“.
Klicken Sie dann auf „Standorte ...“ und wählen Sie einen Standort aus, auf den dieser Benutzer Zugriff hat. Auf meinem System habe ich nur einen Computer zur Auswahl. Wenn Sie jedoch Zugriffsrechte auf anderen Computern hätten, würden diese hier angezeigt. Treffen Sie eine Standortauswahl (Host) und klicken Sie auf „OK“.
Um zu sehen, wie das nächste Feld funktioniert, klicken Sie auf die Schaltfläche „Erweitert“. Sie sehen eine Liste aller Benutzer, die auf dieser ausgewählten Maschine Zugriff auf diese Ressource haben. Wählen Sie einen der weniger privilegierten Benutzer aus, z. B. Gast, und klicken Sie auf „OK“.
Beachten Sie nun, dass Sie dies auch unter „Geben Sie den auszuwählenden Objektnamen ein“ eingeben können und dass Sie hier auch mehrere Computer-/Benutzerauswahlen (gleichzeitig) eingeben können.
Klicken Sie auf „OK“, um mit Ihren neuen Auswahlen zur Registerkarte „Effektive Berechtigungen“ zurückzukehren. Ich habe Love2/Guest ausgewählt und dies zeigt, dass Guest keine effektive Berechtigung auf meinem Computer hat, was richtig ist, da es besser ist, keine Berechtigung zu haben, da ich Gästen keine Berechtigung erteilt habe.
Gehen Sie nun zurück und wählen Sie ein anderes Computer-/Benutzerpaar aus, beispielsweise Ihr primäres Konto auf Ihrem Computer. Wenn ich jetzt auf „OK“ klicke, um zur Registerkarte „Effektive Berechtigungen“ zurückzukehren, kann ich sehen, dass ich die volle Kontrolle über alle Berechtigungen habe. Denken Sie daran, dass dies für die Datei oder den Ordner gilt, nach dem ich gefragt habe, als ich diesen ganzen Prozess gestartet habe. In meinem Beispiel ist dies der Ordner: „Milwaukee Shear Blades“.
Ich hoffe, dies hilft Ihnen zu verstehen, wozu diese Registerkarte dient.