Где-то между Windows 2012 и 2016 компания Microsoft добавила условную функцию к разрешениям NTFS, с помощью которой определенный ACE мог применяться только в том случае, если определенные утверждения о пользователе или устройстве были верны.
Когда расширенный вид диалогового окна «Ввод разрешений» ссылается на эти условия, одним из вариантов, которые вам предоставляются на выбор, являетсяПользователь является членом...илиУстройство является членом....
Кто-нибудь знает наверняка, когда речь идет оУстройство является членом..., это относится ксерверустройство (то есть то, на котором находится файл или папка) иликлиентустройство (то есть то, с которого конечный пользователь пытается получить доступ к файлу)?
В приведенном ниже примере диалогового окна говорится следующее:
- Каждыйимеет доступ на чтение к папке, если он получает к ней доступ с машины вДоменные компьютерыгруппа?
- Каждыйимеет доступ на чтение к папке, пока файловый сервер, на котором находится эта папка, находится вДоменные компьютерыгруппа?
Я вижу применение для любого из подходов, поэтому в любом случае, есть ли альтернативное условие, которое я мог бы использовать (или определить через GPO/Central Access Policy), которое подразумеваетдругойзначение...?
(отступление: я думаю, что это относится к динамическому контролю доступа, но мой Google-fu меня подводит, и я продолжаю получать информацию об Azure AD, которая меня не интересует.)
решение1
Устройствоотносится к клиентскому устройству. https://social.technet.microsoft.com/wiki/contents/articles/14269.introducing-dynamic-access-control.aspx (глава «Компьютер-участник Windows 8»)