Что такое привилегия в мире Windows / Active Directory и чем она отличается от разрешений?

Привилегия (или право пользователя) определяет, что вы можете делать (интерактивный вход в систему, удаленный вход и т. Д.).

Разрешение определяет, к чему вы можете получить доступ (файлы, папки, объекты и т. Д.).

Что касается Active Directory, привилегия - это «то, что вы можете делать», например выдавать себя за клиента после аутентификации или относительно самой Windows Изменить системное время.

Разрешение - это контроль доступа, применяемый к таким объектам, как файловая система, реестр и объекты Active Directory, такие как группы и пользователи. Списки управления доступом предоставляют пользователям и / или группам возможность выполнять различные операции с объектом. Например, такой объект, как папка, имеет список управления доступом, в котором пользователи могут читать содержимое папки, но не могут редактировать или удалять.

Чтобы показать разницу между ними: Папка может иметь разрешение, запрещающее администраторам доступ на чтение и запись к папке, в результате чего администраторы не могут получить доступ к папке. Однако, поскольку администраторы имеют права пользователя (привилегии) Станьте владельцем файлов или других объектов, Администратор может просто стать владельцем папки, а затем изменить ACL папки, чтобы предоставить администраторам права чтения и записи для папки.

Эти это привилегии. Вы уже знаете, что такое разрешения.

Если задуматься, между ними нет четкой границы. «Разрешить локальный вход» - это привилегия, но когда вы добавляете туда пользователя, вы просто даете ему разрешение войти в систему на этом компьютере. Опять же, вы можете сказать, что разрешения даны для ресурсов, но «компьютер» также является ресурсом в моем примере выше.

Вместо того, чтобы пытаться понять, как они называются, вам следует изучить список привилегий с веб-страницы, на которую я ссылался выше. Это весь список, который поможет вам решить ваши проблемы.