Что такое привилегия в мире Windows / Active Directory и чем она отличается от разрешений?

9

Я только что понял, что есть разница между этими двумя после того, как мне пришлось изменить привилегию для изменения разрешений для папки (а затем снова установить их обратно).

PS Если это глупый вопрос, прошу прощения, я до сих пор многое выясняю.

active-directory permissions leeand00
источник
1
Я нашел этот список привилегий констант: msdn.microsoft.com/en-us/library/windows/desktop/...
leeand00

Ответы:

7

Что касается Active Directory, привилегия - это «что вы можете сделать», например выдавать себя за клиента после аутентификации или касаться самой Windows. Измените системное время .

Разрешение - это контроль доступа, применяемый к таким объектам, как файловая система, реестр и объекты Active Directory, таким как группы и пользователи. Списки контроля доступа предоставляют пользователям и / или группам возможность выполнять различные операции над объектом. Например, такой объект, как папка, имеет список контроля доступа, позволяющий пользователям читать содержимое папки, но не редактировать или удалять.

Чтобы показать разницу между ними: папка может иметь разрешение, запрещающее администраторам доступ на чтение и запись к папке, в результате чего администраторы не могут получить доступ к папке. Однако, поскольку у администраторов есть пользовательское право (привилегия). Возьмите на себя владение файлами или другими объектами, администратор может просто взять на себя ответственность за папку, а затем изменить ACL папки, чтобы предоставить администраторам права на чтение и запись для папки.

Art.Vandelay05
источник
Когда вы говорите «Администраторы», вы имеете в виду (администраторы домена или локальные администраторы) или оба?
leeand00
1
Обе. Мой пример был, на мой взгляд, на локальной машине, но да, оба. Область полномочий локальных администраторов локально ограничена компьютером, а область полномочий администраторов домена - домен.
Art.Vandelay05
7

Привилегия (или право пользователя) определяет, что вы можете делать (входить в систему в интерактивном режиме, входить в систему удаленно и т. Д.).

Разрешение определяет, к чему вы можете получить доступ (файлы, папки, объекты и т. Д.).

joeqwerty
источник
2

Это привилегии. Вы уже знаете, что разрешения.

Если вы думаете об этом, то между ними нет четкой границы. «Разрешить локальный вход в систему» ​​- это привилегия, но когда вы добавляете туда пользователя, вы просто даете ему разрешение на вход в систему на этом компьютере. Опять же, вы можете сказать, что разрешения предоставляются для ресурсов, но «компьютер» также является ресурсом в моем примере выше.

Вместо того, чтобы пытаться понять, как они называются, вы должны узнать список привилегий на веб-странице, на которую я ссылался выше. Это весь список, и это поможет вам решить ваши проблемы.

Мер
источник