Irgendwann zwischen Windows 2012 und 2016 hat Microsoft den NTFS-Berechtigungen eine bedingte Funktion hinzugefügt, mit der die Anwendung eines bestimmten ACE so eingeschränkt werden konnte, dass er nur dann gilt, wenn bestimmte Aussagen über den Benutzer oder das Gerät zutreffen.
Wenn die erweiterte Ansicht des Dialogfelds „Berechtigungseintrag“ auf diese Bedingungen verweist, können Sie unter anderem zwischen folgenden Optionen wählen:Der Benutzer ist Mitglied von ...oderDas Gerät ist Mitglied von ....
Weiß jemand genau, wasDas Gerät ist Mitglied von ...bezieht es sich auf dieServerGerät (also das Gerät, auf dem sich die Datei oder der Ordner befindet) oder dasKlientGerät (d. h. das Gerät, von dem aus der Endbenutzer versucht, auf die Datei zuzugreifen)?
Heißt das unten stehende, gekünstelte Beispieldialogfeld Folgendes:
- Allehat Lesezugriff auf den Ordner, solange er von einem Rechner imDomänencomputerGruppe?
- Allehat Lesezugriff auf den Ordner, solange sich der Dateiserver, auf dem sich der Ordner befindet, imDomänencomputerGruppe?
Ich sehe Verwendungsmöglichkeiten für beide Ansätze. Gibt es also in beiden Fällen eine alternative Bedingung, die ich verwenden (oder über eine GPO/zentrale Zugriffsrichtlinie definieren) könnte, die Folgendes ableitet:andereBedeutung...?
(Abgesehen davon: Ich glaube, dies bezieht sich auf Dynamic Access Control, aber mein Google-Fu lässt mich im Stich und ich erhalte ständig Informationen zu Azure AD, was mich nicht interessiert.)
Antwort1
Gerätbezieht sich auf das Client-Gerät. https://social.technet.microsoft.com/wiki/contents/articles/14269.introducing-dynamic-access-control.aspx (Kapitel „Windows 8-Mitgliedscomputer“)