文章編號: 178170 - 上次校閱: 2004年1月22日 - 版次: 2.0

ACL 編輯器與權限的繼承

檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。
本文曾發行於 CHT178170
全部展開 | 全部摺疊

結論

Windows 2000 Active Directory 提供一個使用者介面 (UI),可讓您修改目錄中物件的存取控制權限。這個 UI 就是所謂的「存取控制清單 (ACL) 編輯器」。本文將解釋「ACL 編輯器」所用的繼承觀念,系統管理員必須要知道此繼承觀念。有關「ACL 編輯器」的詳細資訊,請參閱產品說明文件。
回此頁最上方

其他相關資訊

當您在「ACL 編輯器」對話方塊中設定使用者或群組的權限時,根據預設值,這些權限會限制在容器物件本身,容器中的子物件不會受到權限變更的影響。然而,這些子物件確有自己明確的預設權限。例如,若系統管理員在稱為「OU1」的網域內建立一個「組織單位」(OU)。在 OU1 內有很多使用者物件,系統管理員在權限清單中新增一個 OU1 的使用者,然後賦予此使用者「完全控制權」。當此使用者登入並試圖修改 OU1 內的某個使用者物件時,他就會收到拒絕存取的錯誤訊息。這是因為此使用者只被賦予適用於容器物件的權限,而此權限不適用於容器內的子物件。

系統管理員可以:

  • 變更使用者對容器物件的權限領域,並讓子物件繼承父容器的權限。

    -或-
  • 將此使用者新增至容器內每個物件的權限清單中。
根據預設值,容器的子物件可以繼承父容器的權限。當您新增或修改父容器的權限時,請執行下面步驟,讓這些權限也能遺傳給子物件。

  1. 開啟 [目錄] 中容器物件的 [內容],然後選取 [安全] 標籤。
  2. 按一下 [進階]。這樣會顯示 [存取設定控制] 對話方塊。
  3. 選取想要修改其權限的使用者或群組,然後按一下 [檢視]/[編輯]。如果使用者沒有顯示出來,在繼續執行之前請按一下 [新增] 以新增此使用者。
  4. 在 [套用在] 的下拉式功能表中,選取 [這個物件及所有子物件],然後適當地自訂權限。
  5. 檢查 [套用這些權限到此容器中的物件及/或容器] 核取方塊的狀態。如果此核取方塊未被選取,權限只會遺傳給和此容器最接近的子物件。如果有選取此核取方塊,權限的繼承就會經過最接近的子物件往下傳給父容器內的其他容器。
  6. 按一下 [確定],然後關閉剩下的對話視窗。
如同上文所述,根據預設值,容器的子物件可以繼承父容器的權限。若要確認這一點,系統管理員可以開啟某物件的 [內容],選取 [安全] 標籤,然後注意位於內容頁底部的 [允許來自父項的可繼承權限可以傳播至此物件] 核取方塊的狀態。若要檢視繼承的權限,請按一下 [進階],然後注意看,在容器層級被賦予權限的使用者會列在權限清單中,但是此使用者的圖示顏色會變淡灰。

若要取消特定物件的繼承權,不讓它繼承父容器的權限,請清除 [允許來自父項的可繼承權限可以傳播至此物件] 核取方塊。清除此核取方塊之後,在父容器層級被賦予權限的使用者與群組,現在在權限清單中,其狀態是顯示為作用中的項目。系統管理員在關閉對話方塊前可能會移除這些項目。
回此頁最上方

?考

本文件是根據 Microsoft Knowledgebase 文件編號 Q178170 翻譯的. 若要參考原始英文文件內容, 請至以下網址:

http://support.microsoft.com/support/kb/articles/Q178/1/70.asp (http://support.microsoft.com/kb/178170/en-us?ln=en-us&sd=gn&fr=0)
回此頁最上方
這篇文章中的資訊適用於:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional Edition
回此頁最上方
關鍵字:?
kbinfo ntsrvwkst KB178170
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。