Dodałem użytkownika do nowej grupy, która posiadała uprawnienia nadane do katalogów. Jednak użytkownik nadal nie miał dostępu. Jak mogę szybko sprawdzić, czy użytkownik rzeczywiście jest członkiem danej grupy?
Dodałem użytkownika do nowej grupy, która posiadała uprawnienia nadane do katalogów. Jednak użytkownik nadal nie miał dostępu. Jak mogę szybko sprawdzić, czy użytkownik rzeczywiście jest członkiem danej grupy?
Po zalogowaniu się użytkownika do systemu LSA (Local Security Authority) generuje Access Token, zawierający między innymi członkostwo użytkownika w grupach. Po dodaniu użytkownika do nowej grupy, Access Token musi zostać zaktualizowany - wymaga to ponownego przelogowania się użytkownika. Wcześniej można jednak sprawdzić faktyczne członkostwo użytkownika w grupach za pomocą komendy whoami /groups. Komenda ta zwraca informacje pobrane z bieżącego Access Tokenu użytkownika.
Można również użyć polecenia gpresult /R, które udostępni nam dużo więcej informacji na temat aktualnie zalogowanego użytkownika; poza grupami, do których należy użytkownik, można dowiedzieć się również, jakie GPO zostały zastosowane dla jego konta:
USER SETTINGS
--------------
Last time Group Policy was applied: 2013-12-14 at 10:43:04
Group Policy was applied from: N/A
Group Policy slow link threshold: 500 kbps
Domain Name: WIN-7VSGJS1D4JN
Domain Type: <Local Computer>
Applied Group Policy Objects
-----------------------------
N/A
The following GPOs were not applied because they were filtered out
-------------------------------------------------------------------
Local Group Policy
Filtering: Not Applied (Empty)
The user is a part of the following security groups
---------------------------------------------------
None
Everyone
BUILTIN\Administrators
BUILTIN\Users
NT AUTHORITY\INTERACTIVE
CONSOLE LOGON
NT AUTHORITY\Authenticated Users
This Organization
LOCAL
NTLM Authentication
High Mandatory Level