Ein Domänenbenutzer kann verschiedenen Gruppen angehören. Berechtigungen können sowohl dem Benutzer direkt zugewiesen oder aus den Gruppen, denen er angehört, vererbt werden.
Die Spalte "Effektive Rechte" zeigt das Ergebnis dieses Mechanismus und wird nur für Domänenbenutzer angezeigt, nicht für Gruppen oder lokale Benutzer.
Wenn sowohl ein Domänenbenutzer als auch die Benutzergruppe, der er angehört, in der Benutzerverwaltung eingetragen sind, dann kann es unterschiedliche Einstellungen bei Gruppe und Benutzer geben.
In einem solchen Fall setzt sich die Erteilung eines Rechts stets gegen die Verweigerung durch. Beispiel ibaPDA:
Beispiel ibaHD-Server:
Die Abbildungen zeigen, dass dem Benutzer "jdoe" das Recht "Server wechseln" verweigert wurde. Er erhält das Recht aber trotzdem, da er auch Mitglied der Gruppe "ibaPDA-Users" bzw. "ibaHD-Users" ist, die diese Berechtigung hat.
Wenn eine Berechtigung erteilt ist, dann zeigt der Tooltip am Mauszeiger die Quelle(n), die die Berechtigung vererbt hat.
In diesem Zusammenhang sind weitere Fälle denkbar:
Projektierter Domänenbenutzer ist Mitglied einer Gruppe
|
Benutzer |
Gruppe |
Effektiv |
|---|---|---|
|
Erteilt |
Erteilt |
Erteilt |
|
Erteilt |
Verweigert |
Erteilt |
|
Verweigert |
Erteilt |
Erteilt |
|
Verweigert |
Verweigert |
Verweigert |
Projektierter Domänenbenutzer ist Mitglied mehrerer Gruppen
|
Benutzer |
Gruppe 1 |
Gruppe 2 |
Effektiv |
|---|---|---|---|
|
Erteilt |
Erteilt |
Erteilt |
Erteilt |
|
Erteilt |
Erteilt |
Verweigert |
Erteilt |
|
Erteilt |
Verweigert |
Erteilt |
Erteilt |
|
Erteilt |
Verweigert |
Verweigert |
Erteilt |
|
Verweigert |
Erteilt |
Erteilt |
Erteilt |
|
Verweigert |
Erteilt |
Verweigert |
Erteilt |
|
Verweigert |
Verweigert |
Erteilt |
Erteilt |
|
Verweigert |
Verweigert |
Verweigert |
Verweigert |
Bei Mitgliedschaft in mehreren Gruppen prüft ibaPDA die Rechte der Gruppen nacheinander in der Reihenfolge, in der sie in der Liste (list of SIDs) vom Active Directory-Controller (AD-Controller) stehen. Diese Liste wird bei Anmeldung eines Domänenbenutzers von ibaPDA beim AD-Controller angefordert. Die Rechte der Gruppen werden miteinander nach festen Regeln kombiniert. Wenn der Domänenbenutzer in der Benutzerverwaltung von ibaPDA individuell eingetragen ist, dann bilden seine Rechte die Grundlage für die weiteren Kombinationen. Ist der Benutzer nicht in der Benutzerverwaltung eingetragen, dann werden nur die Gruppenrechte berücksichtigt.
Bei einigen Rechten spielt die Reihenfolge der Gruppen in der SID-Liste eine Rolle.
-
Erteilt/Verweigert wird verodert (OR), wobei "Erteilt" dominant ist.
-
Bei den Rechten "Automatisch Schließen bei Inaktivität" und "Automatisch trennen bei Inaktivität" wird stets der kleinste Wert übernommen. Hat z. B. eine Gruppe einen Wert von 10 min und die andere Gruppe einen Wert von 1 min, dann wird 1 min übernommen.
-
Das Recht "Anzeigestil vorgeben" wird vom Benutzer bzw. der ersten Gruppe übernommen, wo ein Anzeigestil vorgewählt ist.
-
Für die Rechte "Layouts von Server laden" und "Layouts auf Server speichern" wird das Layout-Verzeichnis vom Benutzer bzw. der ersten Gruppe übernommen, wo eines dieser Rechte eingestellt ist.
Domänenbenutzer ist nicht in der Benutzerverwaltung eingetragen aber Mitglied mehrerer Gruppen
|
Gruppe 1 |
Gruppe 2 |
Effektiv (aktueller Benutzer) |
|---|---|---|
|
Erteilt |
Erteilt |
Erteilt |
|
Erteilt |
Verweigert |
Erteilt |
|
Verweigert |
Erteilt |
Erteilt |
|
Verweigert |
Verweigert |
Verweigert |