Permissions

訪問新授權的伺服器文件夾所需的最少操作是什麼

  • September 25, 2018

我希望我在正確的地方(正確的堆棧交換網站)。如果不是,請告訴我正確的。

通過將我添加到我無權訪問的 Active Directory 組中,我獲得了 Windows 伺服器上文件夾的新權限。

但是,雖然我有權限,但我無法訪問該文件夾。我必須註銷/登錄才能訪問。

為什麼這樣?如果是根據我是誰授權我的伺服器,那麼為什麼需要重新啟動我的機器(或註銷/登錄)才能訪問該文件夾?

訪問該文件夾的最少操作是什麼?我們絕對必須註銷/登錄嗎?

舊文本,但請參閱如何在訪問控制中使用安全組,因為它解釋了該過程。當您的註銷/登錄發生時,令牌會刷新

當使用者或組被授予訪問資源(例如列印機或文件共享)的權限時,使用者或組的 SID 將添加到訪問控制條目 (ACE) 中,該條目在資源的自由訪問控制列表中定義所授予的權限(DACL)。在 Active Directory 域服務中,每個對像都有一個 nTSecurityDescriptor 屬性,該屬性儲存一個 DACL,用於定義對該特定對象的訪問權限或該對像上的屬性。有關在 Active Directory 域服務中設置對象訪問控制的詳細資訊,請參閱控制對 Active Directory 域服務中對象的訪問。

當使用者登錄到 Windows 2000 域時,作業系統會生成一個訪問令牌。此訪問令牌用於確定使用者可以訪問哪些資源。使用者訪問令牌包括以下數據:

使用者 SID。

使用者所屬的所有全域和通用安全組的 SID。

所有嵌套的全域和通用安全組的 SID。

代表此使用者執行的每個程序都有此訪問令牌的副本。

當使用者嘗試訪問電腦上的資源時,使用者訪問資源所通過的服務將通過基於使用者登錄時創建的訪問令牌創建新的訪問令牌來模擬使用者。這個新的訪問令牌還將包含以下 SID:

使用者所屬的目標域中所有域本地組的 SID。使用者所屬的目標電腦上所有電腦本地組的 SID。該服務使用這個新的訪問令牌來評估對資源的訪問。如果訪問令牌中的 SID 出現在 DACL 中的任何 ACE 中,則服務會為使用者提供這些 ACE 中指定的權限。

引用自:https://serverfault.com/questions/932623