我希望我在正确的地方(正确的堆栈交换网站)。如果不是,请告诉我正确的。
通过将我添加到我无权访问的 Active Directory 组中,我获得了 Windows 服务器上文件夹的新权限。
但是,虽然我有权限,但我无法访问该文件夹。我必须注销/登录才能访问。
为什么这样?如果是根据我是谁授权我的服务器,那么为什么需要重新启动我的机器(或注销/登录)才能访问该文件夹?
访问该文件夹的最少操作是什么?我们绝对必须注销/登录吗?
AskOverflow.Dev
我希望我在正确的地方(正确的堆栈交换网站)。如果不是,请告诉我正确的。
通过将我添加到我无权访问的 Active Directory 组中,我获得了 Windows 服务器上文件夹的新权限。
但是,虽然我有权限,但我无法访问该文件夹。我必须注销/登录才能访问。
为什么这样?如果是根据我是谁授权我的服务器,那么为什么需要重新启动我的机器(或注销/登录)才能访问该文件夹?
访问该文件夹的最少操作是什么?我们绝对必须注销/登录吗?
旧文本,但请参阅如何在访问控制中使用安全组,因为它解释了该过程。当您的注销/登录发生时,令牌会刷新
当用户或组被授予访问资源(例如打印机或文件共享)的权限时,用户或组的 SID 将添加到访问控制条目 (ACE) 中,该条目在资源的自由访问控制列表中定义所授予的权限(DACL)。在 Active Directory 域服务中,每个对象都有一个 nTSecurityDescriptor 属性,该属性存储一个 DACL,用于定义对该特定对象的访问权限或该对象上的属性。有关在 Active Directory 域服务中设置对象访问控制的详细信息,请参阅控制对 Active Directory 域服务中对象的访问。
当用户登录到 Windows 2000 域时,操作系统会生成一个访问令牌。此访问令牌用于确定用户可以访问哪些资源。用户访问令牌包括以下数据:
用户 SID。
用户所属的所有全局和通用安全组的 SID。
所有嵌套的全局和通用安全组的 SID。
代表此用户执行的每个进程都有此访问令牌的副本。
当用户尝试访问计算机上的资源时,用户访问资源所通过的服务将通过基于用户登录时创建的访问令牌创建新的访问令牌来模拟用户。这个新的访问令牌还将包含以下 SID:
用户所属的目标域中所有域本地组的 SID。用户所属的目标计算机上所有计算机本地组的 SID。该服务使用这个新的访问令牌来评估对资源的访问。如果访问令牌中的 SID 出现在 DACL 中的任何 ACE 中,则服务会为用户提供这些 ACE 中指定的权限。
这是预期的行为。
AFAIK,是的。
就像附加信息一样...
来自Ars technica的奋乃静