我希望我找到了正确的地方(正确的 Stack Exchange 网站)。如果不是,请告诉我正确的网站。
我被添加到我无权访问的 Active Directory 组,从而获得了 Windows 服务器上文件夹的新权限。
但尽管我有权限,我却无法访问该文件夹。我必须注销/登录才能访问。
为什么这样?如果服务器根据我的身份对我进行授权,那么为什么需要重新启动我的计算机(或注销/登录)才能访问该文件夹?
要访问该文件夹,最少需要执行哪些操作?我们一定要注销/登录吗?
答案1
这是一篇旧文,但请看一下安全组如何在访问控制中使用因为它解释了这个过程。当你注销/登录时,令牌会被刷新
当用户或组被授予访问资源(例如打印机或文件共享)的权限时,该用户或组的 SID 将被添加到访问控制条目 (ACE) 中,该条目定义资源的自由访问控制列表 (DACL) 中授予的权限。在 Active Directory 域服务中,每个对象都有一个 nTSecurityDescriptor 属性,该属性存储一个 DACL,该 DACL 定义对该特定对象或该对象上的属性的访问权限。有关在 Active Directory 域服务中设置对象访问控制的详细信息,请参阅控制对 Active Directory 域服务中对象的访问。
当用户登录到 Windows 2000 域时,操作系统会生成一个访问令牌。此访问令牌用于确定用户可以访问哪些资源。用户访问令牌包含以下数据:
用户 SID。
用户所属的所有全局和通用安全组的 SID。
所有嵌套的全局和通用安全组的 SID。
代表该用户执行的每个进程都有此访问令牌的副本。
当用户尝试访问计算机上的资源时,用户访问资源所通过的服务将通过基于用户登录时创建的访问令牌创建新的访问令牌来模拟用户。此新访问令牌还将包含以下 SID:
用户所属的目标域中的所有域本地组的 SID。用户所属的目标计算机上的所有计算机本地组的 SID。服务使用此新访问令牌来评估对资源的访问权限。如果访问令牌中的 SID 出现在 DACL 中的任何 ACE 中,服务将向用户授予这些 ACE 中指定的权限。
答案2
但尽管我有权限,我却无法访问该文件夹。我必须注销/登录才能访问。
这是预期的行为。
要访问该文件夹,最少需要执行哪些操作?我们一定要注销/登录吗?
据我所知,是的。
答案3
正如附加信息...
来自奋乃静技术杂志
取决于您所说的“权限”是什么意思。您是指 NTFS 权限吗?如果是这样,它们会立即生效。您是指针对 AD 对象的权限吗?这需要复制间隔(几分钟)。您是指您更改了组成员身份吗?这始终需要注销/登录,因为组成员身份会附加到身份验证时收到的 kerberos 票证中。