Herramienta Permisos efectivos

Si desea averiguar los permisos que un usuario o un grupo tiene en un objeto, puede utilizar la herramienta Permisos efectivos. Dicha herramienta permite calcular los permisos que se concede al usuario o grupo específico. El cálculo tiene en cuenta los permisos en vigor de la pertenencia a grupos, así como todos los permisos heredados del objeto principal. Durante el mismo se examinan todos los grupos de dominios y locales de los que el usuario o el grupo es miembro.

El grupo Todos siempre estará incluido mientras el usuario o el grupo seleccionado no sea miembro del grupo Inicio de sesión anónimo. En la familia de servidores Windows Server 2003, el grupo Todos ya no incluye Inicio de sesión anónimo.

Importante

• La herramienta Permisos efectivos sólo ofrece una aproximación de los permisos que tiene un usuario. Los permisos reales que el usuario tiene pueden ser distintos, dado que los permisos se conceden o deniegan en función del modo en que un usuario inicia la sesión. Esta información específica del inicio de sesión no se puede determinar con la herramienta Permisos efectivos, dado que el usuario no ha iniciado la sesión; por lo tanto, los permisos efectivos que muestra reflejan sólo esos permisos especificados por el usuario o el grupo y no los especificados en el inicio de sesión.
  
  Por ejemplo, si un usuario está conectado a este equipo mediante un recurso compartido de archivo, el inicio de sesión de ese usuario se marca como un inicio de sesión de red. Se pueden conceder o denegar permisos a la red del Id. de seguridad (SID) conocido que recibe el usuario conectado, de modo que un usuario tiene permisos diferentes cuando inicia la sesión localmente y cuando lo hace a través de una red. Para obtener información acerca de las carpetas compartidas y los permisos de recurso compartido, vea Carpetas compartidas y Permisos de recurso compartido.
  
  Para obtener información acerca de cómo conceder acceso para los permisos efectivos, vea el artículo 331951 (en inglés) en Microsoft Knowledge Base.
  
  

• Pertenencia al grupo global
  
  
• Pertenencia al grupo local
  
  
• Permisos locales
  
  
• Privilegios locales
  
  

Los siguientes SID conocidos, disponibles en la familia de servidores Windows Server 2003, no se utilizan para determinar los permisos efectivos:

• Inicio de sesión anónimo
  
  
• Lote, Grupo de creador
  
  
• Acceso telefónico
  
  
• Controladores de dominio empresariales
  
  
• Interactivo
  
  
• Red
  
  
• Proxy
  
  
• Restringido
  
  
• Remoto
  
  
• Servicio
  
  
• Sistema
  
  
• Usuario de Terminal Server
  
  
• Otra organización
  
  
• Esta organización
  
  

Además, los permisos de recurso compartido no son parte del cálculo de permisos efectivos. El acceso a los recursos compartidos se puede denegar a través de los permisos de recurso compartido incluso cuando el acceso se permite mediante permisos NTFS.

• Pertenencia al grupo local
  
  
• Privilegios locales
  
  
• Permisos de recurso compartido
  
  

La recuperación exacta de la información anterior requiere permiso para leer la información de pertenencia. Si el usuario o el grupo especificado es un objeto de dominio, debe tener permiso para leer la información de grupo del objeto en el dominio. A continuación se describen algunos permisos de dominio predeterminados importantes:

• Los administradores de dominio tienen permiso para leer la información de pertenencia en todos los objetos.
  
  
• Los administradores locales de una estación de trabajo o un servidor independiente no pueden leer la información de pertenencia de un usuario del dominio.
  
  
• Los usuarios de dominio autenticados sólo pueden leer información de pertenencia cuando el dominio está en el modo de compatibilidad anterior a Windows 2000.
  
  

Para obtener más información, vea Ver permisos efectivos de archivos y carpetas y Identificadores de seguridad.