Что такое эффективные разрешения пользователя для ресурса
Перейти к содержимому

Что такое эффективные разрешения пользователя для ресурса

  • автор:

Как оценить действующие разрешения для ресурсов на удаленных компьютерах

При проверке действующих разрешений пользователя на удаленный ресурс иногда отображаются неправильные результаты или ошибки.

Подробные сведения об этом поведении и его разрешении зависят от способа получения эффективных разрешений следующим образом:

  • Если вы используете существующее приложение Windows, можно использовать вкладку «Эффективный доступ» диалогового окна «Расширенная безопасность» для ресурса.
  • Если вы используете программный интерфейс (API) подсистемы среды выполнения диспетчера авторизации (Authz.dll), можно вызвать следующие функции:
    • AuthzInitializeContextFromSid
    • AuthzInitializeRemoteResourceManager
    • AuthzAccessCheck
    • AuthzCachedAccessCheck

    Windows Server 2012 R2 внесено изменение в способ оценки Windows эффективных разрешений, особенно для удаленных ресурсов.

    Использование вкладки «Эффективный доступ»

    Если вы используете вкладку «Эффективный доступ», на вкладке могут отображаться ошибки или предупреждения.

    Ошибка действующих разрешений: у вас нет разрешения на оценку действующих прав доступа для удаленного ресурса.

    Ошибка действующих разрешений: сведения о безопасности общего ресурса недоступны и не были оценены для эффективного доступа.

    Дополнительные сведения о том, как устранить эти проблемы, см. в разделе «Удаленные ресурсы,включая SMB».

    Использование вызовов API Authz

    Эта проблема может возникнуть при использовании вызовов API, если выполняется одно из следующих условий:

    • Приложение выполняет вызовы удаленно с сервера ресурсов.
    • Учетная запись пользователя, в котором выполняется приложение, не в том же домене, что и ресурс.

    В этом случае некоторые разрешения «Разрешить» могут отсутствовать, или некоторые запреты могут отображаться как разрешения GrantedAccessMask.

    Ниже приведен пример сценария.

    • Существует глобальная группа в домене A и локальная группа домена в домене B. Ресурс находится в домене B.
    • Локальная группа домена имеет полный доступ к ресурсу. Этот доступ включает разрешения на удаление.
    • Глобальная группа является членом локальной группы домена. Глобальная группа не имеет прямого доступа к ресурсу.
    • Используя учетную запись пользователя и компьютер на уровне администратора в домене A, вы удаленно извлекаете разрешения ресурса пользователя, который является членом глобальной группы.

    В полученных результатах пользователь не имеет разрешений на удаление ресурса. Однако на самом деле у пользователя есть разрешения на удаление.

    Authz.dll использует службу Kerberos для транзакции пользователя (Kerberos S4U) для получения маркера для пользователя. Однако этот токен указывается относительно административной станции или станции, на которой выполняется серверные приложения. Маркер не является относительным для сервера ресурсов. Таким образом, маркер не включает локальные группы домена компьютера, на котором размещен ресурс, если ресурс соответствует одному из следующих условий:

    • Ресурс находится в домене, отличном от домена административной станции или пользователя с правами администратора.
    • Ресурс имеет разрешения, назначенные встроенным группам. Встроенные группы могут использоваться неправильно.

    Получение эффективных разрешений с помощью вызовов API Authz

    Для решения этой проблемы воспользуйтесь одним из указанных ниже способов.

    • Используйте функцию AuthzInitializeRemoteResourceManager , чтобы включить дескриптор удаленного ресурса при вызове функции AuthzInitializeContextFromSid .
    • Контекст локальной проверки подлинности:
      • Если конфигурация включает Kerberos S4U, убедитесь, что учетная запись администратора находится в том же домене, что и ресурс.
      • Если вы проверяете действующие разрешения для объекта Active Directory, запустите средства администрирования на контроллере домена, который имеет полную копию объекта (контекст именования конфигурации, nc домена или nc приложения).
      • Если проверить действующие разрешения для кластеризованного ресурса, можно запустить средства администрирования с любого узла кластера. Кроме того, можно запустить средства администрирования с сервера ресурсов.

      Важно! Точно следуйте всем указаниям из этого раздела. Внесение неправильных изменений в реестр может привести к возникновению серьезных проблем. Перед изменением создайте резервную копию реестра на случай возникновения проблем.

      1. Откройте редактор реестра и перейдите к подразделу HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Authzреестра.
      2. Выберите «Изменить>новое>значение DWORD».
      3. Введите UseGroupRecursion.
      4. Щелкните правой кнопкой мыши UseGroupRecursion и выберите » Изменить».
      5. Введите 1 и нажмите кнопку «ОК».

      Примечание. Если значение равно 0 (значение по умолчанию), Authz использует метод Kerberos. Если значение равно 1, Authz использует AD LDAP и запросы SAM автономного сервера.

      • UseGroupRecursion не действует при использовании флага AUTHZ_REQUIRE_S4U_LOGON при создании контекста Authz.
      • Пользователь приложения должен иметь разрешения на чтение для атрибута TokenGroups и локальных групп домена ресурсов.
      • Приложение должно иметь возможность использовать протокол SAM RPC при вызове API. Это связано с тем, что локальные группы сервера извлекаются с помощью API SAM. Список управления доступом (ACL) можно задать в интерфейсе SAM RPC с помощью политики безопасности RestrictRemoteSAM .

      Получение эффективных разрешений на удаленные ресурсы, включая общие папки SMB

      Windows Server 2012 R2 добавил интерфейс Authz RPC в процесс LSASS. Этот интерфейс управляется службой Netlogon. С помощью этого интерфейса RPC можно оценить действующие разрешения относительно фактического сервера ресурсов.

      Это обновление также добавило возможность оценивать разрешения, задаемые как на уровне файловой системы, так и на уровне общей папки. При использовании этой возможности вы увидите, какая часть проверки доступа ограничивает доступ.

      Сведения о том, какие факторы ограничивают доступ пользователей к ресурсу.

      При оценке эффективного доступа к ресурсам учитывайте следующие факторы:

      • Авторизация на удаленном сервере
        • Чтобы оценить действующие разрешения для ресурса на удаленном сервере, пользователь должен входить в группу контроль доступа помощи. Эта встроенная группа упрощает делегирование доступа пользователям, у которых нет административного доступа к серверам ресурсов. В противном случае пользователи должны иметь административный доступ как к удаленному серверу, так и к общей папке или другому ресурсу.
        f:\year2022\quarter2\ 

        Примечание: В этом примере сопоставляется f: с \\fileserver01.contoso.com\finance-data . Вместо этого используйте путь, похожий на следующий:

        \\fileserver01.contoso.com\finance-data\year2022\quarter2\ 

        Если вы не используете разрешения общего доступа для ограничения пользователей, можно спокойно игнорировать предупреждение о разрешениях на общий доступ.

        Обратная связь

        Были ли сведения на этой странице полезными?

        Как настраивать разрешения и права доступа?

        Администратору Системы часто требуется предоставить пользователям доступ к папке, в которой хранятся документы определенного типа. В связи с этим можно выделить две ситуации:

        1) пользователю предоставлен доступ к некоторой папка в его иерархии личных папок, он может просматривать, создавать/редактировать в ней документы.

        2) у пользователя напрямую нет доступа к папке с документами некоторого типа, однако, он может косвенно, редактируя поля других документов, использовать данную папку: просматривать, создавать/изменять в ней документы. Например, как это происходит, со справочниками Системы.

        Как предоставить пользователю доступ к папке?

        Для того чтобы пользователь увидел в своей иерархии личных папок ту или иную папку, администратор должен создать для него ссылку на данную папку. Войдите в Мастер администрирования под учетной записью администратора и откройте страницу «Библиотеки документов»:

        Пусть, например, мы создали предварительно некоторую библиотеку «Договора», которая содержит тип документа «Договор». Если Вы желаете, чтобы папку для хранения договоров увидели определенные сотрудники, выберите эту папку и перейдите на закладку «Доступ».

        Далее может понадобиться разорвать наследование прав от библиотеки к папке. Нажмите для этого на ссылку «Здесь»:

        Вам станет доступна кнопка для добавления пользователей и групп, нажмите на нее, появится диалог:

        Выберите пользователей, которым вы желаете выдать папку «Договора» (для множественного выбора удерживайте клавишу Shift) и нажмите ОК. В результате выбранные вами пользователи получат ссылку на папку «Договора» в иерархиях своих личных папок:

        По умолчанию пользователи получают разрешение только на чтение документов из этой папки (уровень доступа – Читатель).

        Далее вы можете поменять уровень доступа для каждого конкретного пользователя.

        Как назначить разрешения?

        Под разрешениями понимается возможность выполнять те или иные действия над папками и документами: редактирование, удаление, создание новых подобъектов и пр. Совокупность разрешение определяет уровень доступа (права доступа). Пользователю может быть напрямую не доступна та или иная папка (т.е. данной папки нет в списке его личных папок), но, тем не менее, он сможет видеть документы из данных папок при редактировании полей других документов.

        Администратор можете задавать права доступа группам пользователей или отдельным пользователям. Изменять права доступа на системные папки рекомендуется только опытным администратором с целью не повредить логику работы системы. Можно, например, изменить права доступа на папки иерархии документов организации, которые видят все пользователи системы.

        Для назначения разрешений на папку или документ нужно:

        • выбрать соответствующую папку или документ с помощью Мастера администрирования (или Консоли администратора);
        • вызвать для данной папки контекстное меню и выполнить пункт Разрешения. :

        В результате появится диалог редактирования разрешений для выбранной папки:

        В верхнем списке данного диалога перечислены все группы пользователей и (или) отдельные пользователи, которым назначены какие-либо права на выбранный объект. Вы можете добавить новых пользователей (группы пользователей) для настройки разрешений.

        После клика мышкой на поле «Уровень доступа» напротив соответствующего пользователя (группы пользователей), появится меню выбора уровня доступа. Укажите требуемый уровень доступа или настройте собственные права доступа (уровень доступа «особый»), нажав на кнопку :

        После настройки разрешений ссылка на папку в личных папках пользователя не появляется.

        Диалог расширенной настройки разрешений

        Альтернативным способом настройки прав доступа является вызов «продвинутого» диалога настройки разрешений. Для этого нажмите кнопку Дополнительно в диалоге выше:

        Закладка «Общие» данного диалога наиболее важна. Ее элементы (разрешения) одинаковы для всех объектов (как для папок, так и для документов).

        В верхнем списке данного диалога перечислены все группы пользователей и (или) отдельные пользователи, которым назначены какие-либо права на выбранный объект. С помощью кнопок Добавить и Удалить можно управлять данным списком. В нижнем списке — собственно права доступа и разрешения на данный документ для выбранного в верхнем списке пользователя или группы пользователей.

        Система предоставляет следующие виды прав доступа:

        • Чтение — право на пересмотр содержания папки или значений полей документа.
        • Запись — право на изменение объекта (переименование папки, изменение значений полей документа, и т.п.).
        • Удаление — право на удаление объекта.
        • Изменение разрешений — право на изменение разрешений для данного объекта, предоставляемого данному пользователю или группе.
        • Смена владельца — право на смену владельца данного объекта.
        • Создание подобъектов — общее право на создание подобъектов для данного объекта (например, право создания вложенной папки в данной папке, или право создания вложенных файлов в данном документе, и т.д.). Права на создание отдельных подобъектов, после того как установлено общее разрешение, можно изменить на закладке «Создание подобъектов».
        • Удаление подобъектов — общее право на удаление подобъектов для данного объекта (например, право создания вложенной папки в данной папке, или право создания вложенных файлов в данном документе, и т.д.). Права на удаление отдельных подобъектов, после того как установлено общее разрешение, можно изменить на закладке «Создание подобъектов».

        Управление правами доступа выполняется путем назначения разрешений на них. В системе поддерживаются следующие виды разрешений:

        • Разрешить — разрешено. Пользователю разрешено какое-либо право.
        • Запретить — запрещено. Пользователю запрещено какое-либо право.

        Механизм разрешения в системе реализован точно так же, как и в Windows NT. Снятие обоих флажков в колонках «Разрешить» и «Запретить» имеет в виду использование унаследованных или делегированных прав. Явный запрет доминирует над явным разрешением и снятыми флажками.

        Фоном в списке разрешений отмечены права, унаследованные от родительского объекта. Отмеченные фоном разрешения нельзя будет изменить до тех пор, пока включена опция Наследовать разрешения от родителя, которая доступна для изменения в диалоге «Дополнительные параметры» (вызывается кнопкой Дополнительно):

        Для смены владельца объекта откройте следующую закладку данного диалога:

        Выберите нового владельца данного объекта, конечно, если у вас есть разрешение на такое изменение. После выбора нового владельца нажмите ОК.

        Чтобы избежать некорректной работы Системы, пользователям не рекомендуется изменять владельца в созданных им документах.

        Закладки «Создание подобъектов» и «Удаление подобъектов» предназначены для определения разрешений для подобъектов данного объекта. Подобъекты для папок и документов являются разными, поэтому содержание этих закладок будет отличаться для различных типов объектов.

        подскажите какие эффективные разрешения для пользователя

        Author24 — интернет-сервис помощи студентам

        Пользователю Userl02 назначено разрешение Полный доступ для обшей папки FolderB, как отдельному пользователю. Пользователь Userl02 является членом группы Менеджеры, для которой было установлено разрешение Изменить для папки FolderB, и группы Продажи, которой был запрещён доступ к папке FolderB. Каковы эффективные разрешения пользователя Userl02 на доступ к папке FolderB?

        Лучшие ответы ( 2 )
        94731 / 64177 / 26122
        Регистрация: 12.04.2006
        Сообщений: 116,782
        Ответы с готовыми решениями:

        Какие разрешения нужны для записи в папку удаленного доступа на другом компьютере?
        Доброго дня всем. Организовал сеть. При попытке с компьютера Б вставить в папку удаленного.

        Какие разрешения нужны для определения местоположения?
        Какое разрешение нада прописать в манифест чтобы приложение могло определять местоположение?

        Подскажите эффективные способы пополнения словарного запаса
        Подскажите эффективные способы пополнения словарного запаса, всегда были с этим проблемы :coffee2:

        Какие еще разрешения требуются пользователю для выполнения системной хранимой процедуры таблицы master?
        Потерял день, но так и не понял, почему хранимая процедура заявляет, что у пользователя нет.

        Эксперт по компьютерным сетямЭксперт HardwareЭксперт Windows

        7365 / 4117 / 514
        Регистрация: 13.03.2013
        Сообщений: 15,028
        Записей в блоге: 12

        Лучший ответ

        Сообщение было отмечено vjacheslav9 как решение

        Решение

        Эффективные разрешения пользователя для ресурса — это совокупность разрешений NTFS, которые вы назначаете отдельному пользователю и всем группам, к которым он принадлежит. Если у пользователя есть разрешение «Чтение» для папки, и он входит в группу, у которой есть разрешение «Запись» для той же папки, значит, у этого пользователя есть оба разрешения.

        Общие сведения о разрешениях для файлов и папок в Windows

        Сводка: Windows предоставляет два набора разрешений для ограничения доступа к файлам и папкам: разрешения NTFS и разрешения для общего ресурса

        • Содержание статьи
        • Свойства статьи
        • Оцените эту статью

        Возможно, эта статья была переведена автоматически. Если вы хотите поделиться своим мнением о ее качестве, используйте форму обратной связи в нижней части страницы.

        Содержание статьи

        Симптомы

        Резюме статьи. В этой статье приводится информация о разрешениях NTFS и разрешениях для общего ресурса в Windows, а также о том, как их объединение позволяет управлять доступом к файлам и папкам.

        Windows предоставляет два набора разрешений для ограничения доступа к файлам и папкам: разрешения NTFS и разрешения для общего ресурса.

        SLN156352_ru__11375283559403.NTFS-perms

          Разрешения NTFS применяются ко всем файлам и папкам, хранящимся в томе, отформатированном файловой системой NTFS. По умолчанию разрешения наследуются из корневой папки для файлов и подпапок в ней, хотя это наследование можно отключить. Разрешения NTFS вступят в силу независимо от того, открыт ли локальный или удаленный доступ к файлу или папке. Разрешения NTFS на базовом уровне предлагают уровни доступа: «Чтение», «Чтения и выполнение», «Запись», «Изменение», «Список содержимого папки» и «Полный доступ», как показано ниже.

        Кроме того, имеется расширенный набор разрешений NTFS, который делит базовые уровни доступа на более детальные настройки. Эти расширенные разрешения зависят от типа объекта, к которому они применяются. Расширенные разрешения для папки показаны ниже.
        SLN156352_ru__21375283626043.NTFS-adv

      • Разрешения для общего ресурса применяются только к общим папкам. Они вступают в силу при получении доступа к общей папке через сеть с удаленного компьютера. Разрешения для общего ресурса для определенной общей папки применяются к этой папке и ее содержимому. Разрешения для общего доступа менее детальны, чем разрешения NTFS, и обеспечивают уровни доступа «Чтение», «Изменение» и «Полный доступ».
        SLN156352_ru__31375283849507.share-perms

      Важно помнить, что разрешения NTFS и разрешения для общего ресурса можно объединять для управления доступом.
      Ниже приведены правила определения уровня доступа пользователя для конкретного файла.

      • Если доступ к файлу осуществляется локально, для определения уровня доступа пользователя используются только разрешения NTFS.
      • Если доступ к файлу осуществляется через общий доступ, то используются разрешения NTFS и разрешения для общего ресурса, при этом применяется наиболее строгое разрешение. Например, если разрешения для общего ресурса для общей папки предоставляют пользователю доступ для чтения, а разрешения NTFS предоставляют пользователю доступ для изменения, то уровень прав пользователя будет разрешение на чтение при удаленном доступе к общему ресурсу и разрешение на изменение при локальном доступе к папке.
      • Индивидуальные права пользователя дополнительно комбинируются с разрешениями групп, членом которых является пользователь. Если пользователь имеет доступ для чтения к файлу, но является членом группы, имеющей доступ для изменения для того же файла, то пользователь будет обладать правами доступа для изменения.
      • Разрешения, назначенные непосредственно определенному файлу или папке (явные разрешения), имеют приоритет над разрешениями, наследуемыми от родительской папки (унаследованные разрешения).
      • Явные разрешения «Запретить» имеют приоритет над явно выраженными разрешениями «Разрешить», но по описанному выше правилу явные разрешения «Разрешить» имеют приоритет над унаследованными разрешениями «Запретить».

      Оба набора разрешений можно назначить в окне свойств файла или папки. Разрешения NTFS назначаются на вкладке «Безопасность» в окне свойств, а разрешения общего доступа назначаются на вкладке «Общий доступ». Для этого нажмите Расширенный общий доступ, а затем Разрешения.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *