Какое минимальное действие требуется для доступа к вновь авторизованной папке на сервере
Я надеюсь, что я нахожусь в правильном месте (правильный сайт обмена стека). Если нет, пожалуйста, скажите мне правильный.
Я получил новые права на папку на сервере Windows, добавившись в группу Active Directory, к которой у меня не было доступа.
Но хотя у меня были права, я не смог получить доступ к папке. Я должен был выйти / войти, чтобы у меня был доступ.
Почему так? Если это сервер, который авторизует меня в соответствии с тем, кто я, то зачем перезагружать мою машину (или выходить из системы / входить в систему), чтобы иметь доступ к этой папке?
Какое минимальное действие нужно сделать, чтобы иметь доступ к этой папке? Нужно ли нам выходить из системы?
3 ответа
Старый текст, но, пожалуйста, посмотрите, как группы безопасности используются в контроле доступа, поскольку он объясняет процесс. Токен обновляется при выходе из системы
Когда пользователю или группе предоставляется разрешение на доступ к ресурсу, такому как принтер или общий файловый ресурс, SID пользователя или группы добавляется в запись управления доступом (ACE), определяющую предоставленное разрешение в списке управления доступом к ресурсу на усмотрение ресурса. (DACL). В доменных службах Active Directory каждый объект имеет атрибут nTSecurityDescriptor, в котором хранится DACL, определяющий доступ к этому конкретному объекту или атрибутам этого объекта. Дополнительные сведения о настройке контроля доступа к объектам в доменных службах Active Directory см. В разделе Управление доступом к объектам в доменных службах Active Directory.
Когда пользователь входит в домен Windows 2000, операционная система генерирует токен доступа. Этот токен доступа используется для определения того, к каким ресурсам пользователь может получить доступ. Маркер доступа пользователя включает в себя следующие данные:
SID пользователя.
SID всех глобальных и универсальных групп безопасности, членом которых является пользователь.
SID всех вложенных глобальных и универсальных групп безопасности.
Каждый процесс, выполняемый от имени этого пользователя, имеет копию этого токена доступа.
Когда пользователь пытается получить доступ к ресурсам на компьютере, служба, с помощью которой пользователь обращается к ресурсу, будет выдавать себя за пользователя, создавая новый токен доступа на основе токена доступа, созданного во время входа пользователя в систему. Этот новый токен доступа также будет содержать следующие идентификаторы безопасности:
SID для всех локальных групп домена в целевом домене, членом которого является пользователь. SID для всех локальных групп компьютеров на целевом компьютере, членом которого является пользователь. Служба использует этот новый токен доступа для оценки доступа к ресурсу. Если SID в маркере доступа появляется в каких-либо ACE в DACL, служба предоставляет пользователю разрешения, указанные в этих ACE.
Но хотя у меня были права, я не смог получить доступ к папке. Я должен был выйти / войти, чтобы у меня был доступ.
Это ожидаемое поведение.
Какое минимальное действие нужно сделать, чтобы иметь доступ к этой папке? Нужно ли нам выходить из системы?
AFAIK, да.
Так же, как дополнительная информация...
Из перфеназина в Ars Technica
Зависит от того, что вы подразумеваете под "разрешениями". Вы имеете в виду разрешения NTFS? Если это так, они вступают в силу немедленно. Вы имеете в виду разрешения для объекта AD? Это требует интервала репликации (несколько минут). Вы имеете в виду, что вы изменили членство в группе? Это всегда требует выхода из системы / входа в систему, так как членство в группе добавляется к билету Kerberos, полученному при аутентификации.