W świecie Windows / Active Directory czym jest przywilej i czym różni się od uprawnień?

Odpowiedzi:

7

W przypadku usługi Active Directory przywilejem jest „to, co możesz zrobić”, na przykład podszywanie się pod klienta po uwierzytelnieniu lub dotyczące samego systemu Windows Zmiana czasu systemowego .

Uprawnienie to kontrola dostępu stosowana do obiektów takich jak system plików, rejestr i obiekty Active Directory, takie jak grupy i użytkownicy. Listy kontroli dostępu zapewniają użytkownikom i / lub grupom możliwość wykonywania różnych operacji na obiekcie. Na przykład obiekt, taki jak Folder, ma Listę kontroli dostępu dla użytkowników, którzy mogą czytać zawartość folderu, ale nie mogą edytować ani usuwać.

Aby pokazać różnicę między nimi: Folder może mieć uprawnienie odmawiające administratorom dostępu do odczytu i zapisu do folderu, uniemożliwiając administratorom dostęp do folderu. Ponieważ jednak administratorzy mają prawo użytkownika (przywilej) Przejęcie na własność plików lub innych obiektów, administrator może po prostu przejąć własność folderu, a następnie zmienić listę ACL folderu, aby dać administratorom uprawnienia do odczytu i zapisu w folderze.

Art.Vandelay05
źródło
Kiedy mówisz o administratorach, masz na myśli (administratorzy domeny lub lokalni administratorzy), czy jedno i drugie?
leeand00
1
Obie. Moim przykładem był mój komputer lokalny, ale tak, oba. Zakres uprawnień lokalnych administratorów jest ograniczony lokalnie do komputera, natomiast zakres uprawnień administratorów domeny to domena.
Art.Vandelay05,
7

Przywilej (lub prawo użytkownika) określa, co możesz zrobić (zalogować się interaktywnie, zalogować się zdalnie itp.).

Zezwolenie określa, do czego masz dostęp (pliki, foldery, obiekty itp.).

joeqwerty
źródło
2

To są przywileje. Wiesz już, jakie są uprawnienia.

Jeśli się nad tym zastanowić, nie ma między nimi wyraźnej linii. „Zezwalaj na logowanie lokalne” jest przywilejem, ale dodając tam użytkownika, dajesz mu tylko prawo do logowania się na tym komputerze. Ponownie można powiedzieć, że uprawnienia są przyznawane na zasoby, ale „komputer” jest również zasobem w moim przykładzie powyżej.

Zamiast próbować zrozumieć, jak się nazywają, powinieneś zapoznać się z listą przywilejów ze strony, do której linkowałem powyżej. To jest cała lista, która pomoże ci rozwiązać twoje problemy.

Mer
źródło