Sau khi điều khoản đã được thiết lập, các LSASS (Cơ quan an ninh địa phương) điều khiển truy cập vào các tài nguyên. LSASS so sánh SID (Security ID) mà bạn đặt trên các ACL (Access Control List) với SID đặt trên access token an ninh được đưa ra cho người sử dụng khi đăng nhập. Nếu SID kết hợp với người sử dụng là trên ACL, các LSASS phải xác định xem truy cập được thiết lập để cho phép hoặc từ chối. Cho phép và từ chối quyền thừa kế xuống thông qua cấu trúc.
Sử dụng phép từ chối một cách tiết kiệm, vì thực tế rằng quyền hạn chế ghi đè cho phép khoan dung. Nó là phổ biến hơn để xóa tất cả các ô Allow cho một nhóm, do đó loại bỏ nhóm từ ACL.
Điều này có cùng một kết quả, đem lại cho không có quyền truy cập vào các tài nguyên. "Không-Cho phép" truy cập theo cách này là dễ dàng hơn để khắc phục sự cố, quản lý và cấu hình. Nó rất dễ dàng để quên rằng bạn đã sử dụng các tùy chọn Deny.
Bạn từ chối quyền (sử dụng rõ ràng Deny) chỉ cho một người dùng cụ thể khi nó là cần thiết để ghi đè khoản được nếu không được phép cho các nhóm mà người dùng này thuộc về.
đang được dịch, vui lòng đợi..