WindowsNT中对用户帐户赋予新的权限后,该用户需要重新登录才能生效吗?对于这个问题,我一直都认为是需要重新登录的,直到遇到今天的情况,有了更深入的认识。
 
我的一个同事,他的帐号对AD中的一个OU具有"Full Control"的权限,不过是“仅限于该对象”。由于工作需要,将他的帐号对这个OU的"Full Control"权限从“仅限于该对象”修改为“该对象和所有子对象”。
 
修改完后,同事没有注销重新登录,连ADUC控制台也没有重新打开,他的帐号就已经对该OU里面的所有对象具有修改权限了,而之前是不能的。为什么?
 
回想一下Windows对帐户的授权过程就明白了。(关于Windows对帐户的授权过程,请参考Technet文章: Authorization and Access Control Technologies)其实前面我的操作过程混淆了一个概念:我不是对用户帐户的权限做更改,而是更改了一个活动目录对象的ACL。
 
如果是对用户帐户的权限做了更改,这个是需要用户帐号注销,重新登录,生成新的凭证,这个新的凭证才会包含更改的权限。而对OU的ACL更改是立即生效的。用户帐户在访问该OU的时候,系统会比对用户帐户的凭证和ACL来确定该用户的访问级别。
 
现在问题搞清楚了。看来对Windows的基本概念还是要清晰,才能在实际问题发生时轻松应对啊。