Was ist in der Windows / Active Directory-Welt ein Privileg und wie unterscheidet sich das von Berechtigungen?

9

Ich habe gerade festgestellt, dass es einen Unterschied zwischen diesen beiden gibt, nachdem ich ein Privileg ändern musste, um die Berechtigungen für einen Ordner zu ändern (und sie dann wieder zurückzusetzen).

PS Wenn dies eine dumme Frage ist, entschuldige ich mich, dass ich immer noch eine Menge dieser Dinge herausfinde.

active-directory permissions leeand00
quelle
1
Ich habe diese Liste von Berechtigungskonstanten gefunden: msdn.microsoft.com/en-us/library/windows/desktop/…
leeand00

Antworten:

7

In Bezug auf Active Directory ist ein Privileg "das, was Sie tun können", z. B. sich nach der Authentifizierung als Client auszugeben oder Windows selbst zu ändern . Ändern Sie die Systemzeit .

Eine Berechtigung ist eine Zugriffssteuerung, die auf Objekte wie das Dateisystem, die Registrierung und Active Directory-Objekte wie Gruppen und Benutzer angewendet wird. Die Zugriffssteuerungslisten gewähren Benutzern und / oder Gruppen die Möglichkeit, verschiedene Vorgänge für das Objekt auszuführen. Beispielsweise verfügt ein Objekt wie ein Ordner über eine Zugriffssteuerungsliste, mit der Benutzer den Inhalt des Ordners lesen, jedoch nicht bearbeiten oder löschen können.

So zeigen Sie den Unterschied zwischen den beiden: Ein Ordner verfügt möglicherweise über die Berechtigung, Administratoren den Lese- und Schreibzugriff auf den Ordner zu verweigern, sodass Administratoren keinen Zugriff auf den Ordner haben. Da Administratoren jedoch über das Benutzerrecht (Privileg) verfügen, das Eigentum an Dateien oder anderen Objekten zu übernehmen, kann der Administrator einfach das Eigentum an dem Ordner übernehmen und dann die ACL des Ordners ändern, um Administratoren Lese- und Schreibberechtigungen für den Ordner zu erteilen.

Art.Vandelay05
quelle
Wenn Sie Admins sagen, meinen Sie damit (Domain-Admins x oder lokale Admins) oder beides?
leeand00
1
Beide. Mein Beispiel war meiner Meinung nach auf einem lokalen Computer, aber ja, beides. Der Berechtigungsbereich der lokalen Administratoren ist lokal - auf den Computer beschränkt, während der Berechtigungsbereich der Domänenadministratoren die Domäne ist.
Art.Vandelay05
7

Ein Privileg (oder Benutzerrecht) regelt, was Sie tun können (interaktiv anmelden, remote anmelden usw.).

Eine Berechtigung regelt, auf was Sie zugreifen können (Dateien, Ordner, Objekte usw.).

Joeqwerty
quelle
2

Dies sind die Privilegien. Sie wissen bereits, was Berechtigungen sind.

Wenn Sie darüber nachdenken, gibt es keine eindeutige Grenze zwischen ihnen. "Lokale Anmeldung zulassen" ist ein Privileg, aber wenn Sie dort einen Benutzer hinzufügen, erteilen Sie ihm lediglich die Berechtigung, sich an diesem Computer anzumelden. Auch hier können Sie sagen, dass Berechtigungen für Ressourcen erteilt werden, aber "Computer" ist in meinem obigen Beispiel auch eine Ressource.

Anstatt zu verstehen, wie sie genannt werden, sollten Sie die Liste der Berechtigungen von der oben verlinkten Webseite lernen. Das ist die ganze Liste und das wird Ihnen helfen, Ihre Probleme zu lösen.

Mer
quelle