Я считаю, что я имею дело с пробелом в знаниях. Я думаю, что я понимаю это около 80%, но, видимо, этого недостаточно. Подобные вопросы мучили меня долгое время. Я постараюсь быть ясным, насколько это возможно. Серверная ОС Windows 2003 R2 Standard SP2. Настольная ОС Windows 7 Pro SP1 и немного Windows XP Pro SP3.
Итак, у меня есть домен под названием DOM1. В домене у меня есть пользователь по имени Ralph. Ральф входит в группу «Администраторы домена» и группу «Пользователи домена». У меня есть рабочая станция с именем MY-WS. Эта рабочая станция является частью домена DOM1. Я вошел в MY-WS как Dom1\Ralph. Я добавил группу администраторов домена DOM1 во встроенную группу администраторов на MY-WS. В настоящее время меня не волнуют какие-либо локальные пользователи или группы на MY-WS. Я создаю папку на рабочем столе (не думаю, что это имеет значение, где) и удаляю наследование и удаляю все, кроме группы «Локальные администраторы» со вкладки «Безопасность» и подтверждаю, что группа «Локальные администраторы» имеет разрешения «Полный доступ» для этой папки. Я могу сделать то же самое с вкладкой «Общий доступ» с похожими результатами.
Это почти все, что мне нужно, чтобы задать свои вопросы. Насколько я понимаю, любой пользователь в локальной группе администраторов имеет неограниченный контроль над этой рабочей станцией. Я также подумал, что если пользователь был членом группы, то добавление группы было таким же, как добавление пользователя. Не уверен, имеет ли это какое-либо отношение к домену против локальных групп и пользователей. Когда я пытаюсь открыть папку, я получаю следующее всплывающее окно (изображение 1). В настоящее время у вас нет прав доступа к этой папке. нажмите «Продолжить», чтобы навсегда получить доступ к этой папке. Если я отвечаю Отмена, ничего не происходит, и я не могу получить доступ к папке. Если я отвечаю «Продолжить», я получаю доступ к папке, и когда я снова проверяю вкладку «Безопасность» в папке, DOM1\Ralph был добавлен с полным доступом. Эту часть я не понимаю. Мне всегда говорили использовать группы, а не пользователей для подобных вещей, поэтому, если люди меняются или вы хотите добавить или удалить доступ для отдельных лиц, это гораздо меньше, чем логистический кошмар.
Есть много других примеров, подобных этому, но у меня есть чувство, что когда один из вас, более образованных людей, прочитает это, вы скажете: «О, да, конечно, да, и вот почему». Во всяком случае, думал, что я сделаю это. Большое спасибо заранее за вашу помощь и сотрудничество.