Qual é a ação mínima necessária para ter acesso a uma pasta de servidor recentemente autorizada?

Navegue suas respostas
3

Espero que eu esteja no lugar certo (site da direita). Se não, por favor, me diga o caminho certo.

Eu obtive novos direitos em uma pasta em um servidor Windows ao ser adicionado ao Grupo do Active Directory para o qual eu não tive acesso.

Mas apesar de ter direitos, não consegui acessar a pasta. Eu tive que sair / login para que eu tivesse acesso.

Por que isso? Se é o servidor que me autoriza de acordo com quem eu sou, então por que reiniciar minha máquina (ou logoff / login) é necessário para ter acesso a essa pasta?

Qual é a ação mínima a ser feita para ter acesso a essa pasta? Temos absolutamente que fazer logoff / login?

    
por Eric Ouellet 25.09.2018 / 22:00

3 respostas

5

Um texto antigo, mas veja Como os grupos de segurança são usados no controle de acesso , como explicam o processo. O token é atualizado quando o seu logoff / login acontece

Quando um usuário ou grupo recebe permissão para acessar um recurso, como uma impressora ou um compartilhamento de arquivos, o SID do usuário ou grupo é adicionado à entrada de controle de acesso (ACE) que define a permissão concedida no recurso discricionário do recurso. lista de controle de acesso (DACL). Nos Serviços de Domínio do Active Directory, cada objeto possui um atributo nTSecurityDescriptor que armazena uma DACL que define o acesso a esse objeto ou atributos específicos nesse objeto. Para obter mais informações sobre como configurar o controle de acesso em objetos nos Serviços de Domínio Active Directory, consulte Controlando o acesso a objetos nos Serviços de Domínio Active Directory.

Quando um usuário faz logon em um domínio do Windows 2000, o sistema operacional gera um token de acesso. Este token de acesso é usado para determinar quais recursos o usuário pode acessar. O token de acesso do usuário inclui os seguintes dados:

SID do usuário.

SIDs de todos os grupos de segurança globais e universais dos quais o usuário é membro.

SIDs de todos os grupos de segurança global e universal aninhados.

Todo processo executado em nome deste usuário tem uma cópia desse token de acesso.

Quando o usuário tenta acessar recursos em um computador, o serviço através do qual o usuário acessa o recurso representará o usuário criando um novo token de acesso com base no token de acesso criado no momento do logon do usuário. Este novo token de acesso também conterá os seguintes SIDs:

SIDs para todos os grupos locais de domínio no domínio de destino do qual o usuário é membro. SIDs para todos os grupos locais da máquina no computador de destino do qual o usuário é membro. O serviço usa esse novo token de acesso para avaliar o acesso ao recurso. Se um SID no token de acesso for exibido em qualquer ACE na DACL, o serviço fornecerá ao usuário as permissões especificadas nessas ACEs.

    
por 25.09.2018 / 22:13
4

But although I had rights, I was not able to access the folder. I had to logout/login in order for me to have access.

Esse é o comportamento esperado.

What is the minimum action to do to have access to that folder? Do we absolutely have to logoff/login?

AFAIK, sim.

    
por 25.09.2018 / 22:09
2

Assim como informações adicionais ...

De Perphenazine em ars technica

Depends on what you mean by 'permissions'. Do you mean NTFS permissions? If so, they do take effect immediately. Do you mean permissions against an AD object? That requires a replication interval (a few minutes). Do you mean you changed group membership? That always requires a logoff/logon as group membership is appended to the kerberos ticket received at authentication.

    
por 25.09.2018 / 22:40

Tags

Lidando com invasores de baixo nível? Como otimizar o vCSA Peiny peformance alojado em mais de 100 VMS? [fechadas]