Как уже говорилось, пользователь или группа получают разрешения на доступ к файлам или папкам непосредственно и через членство в группах (учтите, что в доменах Windows 2000 и Windows Server 2003 группы могут быть членами других групп). Поэтому, когда возникает вопрос "а какие же в конце концов права имеет данный пользователь?", ответ получить не так просто и быстро. Системы Windows XP Professional и Windows Server 2003 предлагают новую возможность — определение действующих разрешений (effective permissions).
Упомянутое средство особенно хорошо работает в домене, а для компьютеров — членов рабочей группы данная возможность, похоже, реализована "не до конца": вы можете определить разрешения только для пользователей или групп, непосредственно указанных в окне Security (Безопасность). Если же пользователь получает разрешения через членство в группе, то никакие разрешения не отображаются.
Как выполняется процедура определение действующих разрешений — рассмотрим на примере. Допустим, пользователь Mike, входящий в группу Managers, имеет для файла Picture.jpg разрешения Write, в то время как для группы определено разрешение Read. Чтобы определить все права, которые пользователь имеет в отношении данного файла, нужно выполнить следующие операции:
1. Выберите файл и перейдите на вкладку Security (Безопасность).
Рис. 4.13. Вкладка Effective Permissions позволяет увидеть все разрешения для выбранного пользователя или группы
При определении действующих разрешений нужно помнить о том, что пользователь может иметь права на операции с объектом, назначенные не с помощью механизма разрешений, а через политики безопасности. Например, пользователь может изменять владельца объекта, даже если у него нет разрешения Take Ownership, однако если такое право ему дано в политиках безопасности.