Windows / Active Directoryの世界では、特権とは何ですか？それはアクセス許可とどう違うのですか？

フォルダーのアクセス許可を変更するために特権を変更する必要があった（そしてそれらを再び設定する）必要があったため、これら2つの間に違いがあることに気づきました。

PSこれが愚かな質問である場合、私はまだこれらの多くを理解していることをお詫び申し上げます。

Active Directoryに関しては、特権は、「認証後にクライアントを偽装する」、またはWindows自体に関する「実行できること」です。システム時刻を変更します。

アクセス許可は、ファイルシステム、レジストリ、グループやユーザーなどのActive Directoryオブジェクトなどのオブジェクトに適用されるアクセス制御です。アクセス制御リストは、ユーザーやグループに、オブジェクトに対してさまざまな操作を実行する権限を付与します。たとえば、フォルダなどのオブジェクトには、ユーザーがフォルダの内容を読み取るためのアクセス制御リストがありますが、編集や削除はできません。

2つの違いを示すには：フォルダーに、管理者によるフォルダーへの読み取りおよび書き込みアクセスを拒否する権限があり、管理者がフォルダーにアクセスできないままになっている可能性があります。ただし、管理者にはファイルまたはその他のオブジェクトの所有権を取得するユーザー権利（特権）があるため、管理者はフォルダの所有権を取得し、フォルダのACLを変更して、管理者にフォルダの読み取りおよび書き込み権限を与えることができます。

特権（またはユーザー権利）は、実行できる操作（対話型ログオン、リモートログオンなど）を制御します。

アクセス許可は、ユーザーがアクセスできるもの（ファイル、フォルダー、オブジェクトなど）を管理します。

これらは特権です。あなたはすでにパーミッションが何であるか知っています。

あなたがそれについて考えるならば、それらの間には明確な線はありません。"ローカルログオンを許可する"は特権ですが、ユーザーをそこに追加すると、そのコンピューターにログオンするためのアクセス許可を与えるだけです。繰り返しになりますが、アクセス許可はリソースに与えられていると言えますが、上の例では「コンピュータ」もリソースです。

それらが何と呼ばれるかを理解しようとする代わりに、上記でリンクしたWebページから特権のリストを学ぶ必要があります。これが全体のリストであり、問​​題の解決に役立ちます。