关于Active Directory,权限是“您可以做什么”,例如在身份验证后模拟客户端或关于Windows本身更改系统时间.
权限是应用于对象(如文件系统,注册表和Active Directory对象(如组和用户))的访问控制.访问控制列表授予用户和/或组对该对象执行各种操作的能力.例如,诸如文件夹之类的对象具有访问控制列表,供用户读取文件夹的内容,但不能编辑或删除.
要显示两者之间的区别:文件夹可能具有拒绝管理员对文件夹的读写访问权限,导致管理员无法访问该文件夹.但是,由于管理员具有用户权限(特权)获取文件或其他对象的所有权,管理员可以简单地获取文件夹的所有权,然后更改文件夹的ACL以授予管理员对文件夹的读写权限.