У світі Windows / Active Directory що таке привілей, і чим це відрізняється від дозволів?

9

Я щойно зрозумів, що між цими двома є різниця після того, як мені довелося змінити привілей, щоб змінити дозволи на папку (а потім знову встановити їх).

PS Якщо це дурне питання, я прошу вибачення, що все ще розгадую багато цих речей.

active-directory permissions

— leeand00
джерело

1

Я знайшов цей список констант привілеїв: msdn.microsoft.com/en-us/library/windows/desktop/…

— leeand00

7

Що стосується Active Directory, то привілей - це "те, що ви можете зробити", наприклад, видавати себе за клієнта після автентифікації або щодо самої Windows. Змініть системний час .

Дозвіл - це контроль доступу, застосований до таких об'єктів, як файлова система, реєстр та об’єкти Active Directory, як групи та користувачі. Списки контролю доступу надають користувачам та / або групам можливість виконувати різні операції над об’єктом. Наприклад, такий об’єкт, як папка, має список контролю доступу, щоб користувачі могли читати вміст папки, але не редагувати чи видаляти.

Щоб показати різницю між двома: Папка може мати дозвіл, забороняючи адміністраторам читання та запису доступу до папки, не дозволяючи адміністраторам отримати доступ до папки. Однак, оскільки адміністратори мають право користувача (привілей) Взяти право власності на файли чи інші об’єкти, адміністратор може просто взяти право власності на папку, а потім змінити ACL папки, щоб надати адміністраторам читання та запис дозволів на папку.

— Art.Vandelay05
джерело

Коли ви говорите адміністраторів, ви маєте на увазі (адміністратори домену x або локальні адміністратори) або те й інше?

— leeand00

1

І те й інше. Мій приклад був, на мій погляд, на локальній машині, але так і так. Область привілеїв місцевих адміністраторів локально обмежена комп'ютером, тоді як сфера привілеїв адміністраторів домену - це домен.

— Art.Vandelay05

7

Привілей (або право користувача) регулює, що ви можете робити (інтерактивно входити в систему, віддалено входити тощо).

Дозвіл визначає, до чого можна отримати доступ (файли, папки, об'єкти тощо).

— joeqwerty
джерело

2

Це пільги. Ви вже знаєте, що таке дозволи.

Якщо ви подумаєте про це, між ними немає чіткої лінії. "Дозволити реєстрацію на локальному рівні" - це привілей, але, додаючи користувача там, ви просто даєте їм дозвіл на вхід на цей комп'ютер. Знову ж таки, ви можете сказати, що дозволи надані на ресурси, але "комп'ютер" також є ресурсом у моєму прикладі вище.

Замість того, щоб намагатися зрозуміти, як вони називаються, вам слід дізнатися список привілеїв на веб-сторінці, яку я пов’язував вище. Це весь список, і це допоможе вам вирішити свої проблеми.

— Мер
джерело