В окне «Действующие разрешения» в проводнике Windows вы можете ввести имя пользователя или группы и увидеть, какие разрешения будут у этого пользователя или группы для этого конкретного файла.
Я немного сбит с толку выделенным текстом:
«...основываясь исключительно на разрешениях, предоставленных непосредственно через членство в группе»
В этом примере пользователь не получает никаких разрешений по членству в группе — все записи разрешений определены только для пользователя. Однако показанные разрешения верны.
Формулировка предполагает, что окно показывает только разрешения, предоставленные группе, членом которой является пользователь, но это не может быть правильным, поскольку этот пользователь получает только разрешения, предоставленные ему конкретно, а не по членству в группе. Так что же означает этот текст?
решение1
в документации Windows Server указано, что функция Effective Permission в проводнике Windowsобеспечивает лишь приблизительное представление о реальных эффективных разрешенияхкоторые применяются к пользователю. Вы можете прочитатьздесьили гуглить о скучных тех же словах... Проводник Windows не разрешает всю цепочку разрешений на объект файловой системы, в случае вложенных групп AD или учетных записей кросс-домена (или поддомена) Проводник Windows не показывает вам реальные разрешения. Чтобы проверить всю цепочку разрешений, основанную на реальных разрешениях на файловую систему, вам нужно использовать внешний инструмент или систему, напримерAccessChkили Ниу Лан (извините за ссылку: моя репутация слишком низкая).
решение2
В справке по вкладке «Действующие разрешения» говорится: «Если вы хотите узнать, какие разрешения есть у пользователя или группы на объекте, вы можете использовать инструмент «Действующие разрешения».
Итак, это инструмент для проверки вашей безопасности, чтобы увидеть, работает ли она и как. Когда вы устанавливаете разрешения, вы в конечном итоге смотрите наружу на периметр ограждения вокруг вашего двора. Когда вы смотрите на эффективные разрешения, вы смотрите назад вовнутрь из внешнего мира, чтобы увидеть, какие двери открыты для конкретного человека (или группы).
Начните с нажатия кнопки «Выбрать» справа от «Имя группы или пользователя:», после чего откроется следующее диалоговое окно:
Нажмите «Типы объектов...» и отметьте пока только «Пользователи». Затем нажмите «ОК».
Затем нажмите «Расположения...» и выберите местоположение, к которому у этого пользователя есть доступ. В моей системе у меня есть только один компьютер для выбора. Но если бы у вас были права доступа на других машинах, они бы отображались здесь. Выберите местоположение (хост) и нажмите «ОК».
Теперь, чтобы помочь вам увидеть, как работает следующее поле, нажмите кнопку «дополнительно». Вы увидите список всех пользователей, которые имеют доступ к этому ресурсу на этой машине, которую вы выбрали. Выберите одного из менее привилегированных пользователей, например, гостя, и нажмите ok.
Теперь обратите внимание, что вы можете ввести это также в поле «Введите имя объекта для выбора», а также вы можете ввести здесь несколько вариантов машины/пользователя (одновременно).
Нажмите ОК, чтобы вернуться на вкладку Действующие разрешения с вашим новым выбором. Я выбрал Love2/Guest, и это показывает, что у Guest нет действующих разрешений на моей машине, что верно, так как у него определенно лучше не иметь никаких разрешений, поскольку я не предоставлял никаких разрешений гостям.
Теперь вернитесь и выберите другую пару машина/пользователь, например, вашу основную учетную запись на вашей машине. Теперь, когда я нажимаю OK, чтобы вернуться на вкладку действующих разрешений, я вижу, что у меня есть полный контроль над всеми разрешениями. Помните, это для файла или папки, о которых я спрашивал, когда начинал весь этот процесс. В моем примере это папка: "Milwaukee shear blades".
Надеюсь, это поможет вам понять, для чего предназначена эта вкладка.