記事によると: 権限の優先順位
権限の優先順位の階層は次のようにまとめられ、優先順位の高い権限がリストの先頭に表示されます。
- 明示的な拒否
- 明示的な許可
- 継承拒否
- 継承許可
また、次の点も当てはまります: フォルダーにフル コントロール権限が付与されていない限り、ファイルの権限はフォルダーの権限よりも優先されます。
この段落が理解できません:フォルダにフルコントロール権限が付与されていない限り、ファイルの権限はフォルダの権限よりも優先されます。
ファイルが入っているフォルダーについて話しているのですか? フォルダーに「フル コントロールを許可」アクセス許可を持つファイルが含まれている場合、そのファイルが「書き込み拒否」に設定されている場合でも、そのフォルダー内のファイルにはすべてのアクセス許可が付与されるということですか?
答え1
それが意味するのは(例として)次のとおりです。
ユーザー「DOMAIN\jcitizen」には、ディレクトリ C:\fakepath への読み取り専用アクセス権が与えられており、このフォルダには「document.docx」というファイルが存在します。この時点で、jcitizen はファイルを開いてその内容を読み取ることはできますが、変更を保存することはできません。
3 か月後、jcitizen のマネージャーは「adobe.pdf」という別のファイルを作成し、それを C:\fakepath に配置しました。マネージャーは、jcitizen が document.docx への変更を保存したり、アクセス権限を変更したりできるようにする必要があると判断し、C:\fakepath\document.docx に jcitizen のフル コントロール権限を明示的に設定しました。
明示的な権限は継承された権限を上書きするため、jcitizen が document.docx への変更 (新しいテキスト段落の追加や DOMAIN\jdoe への読み取り専用アクセスの付与など) を保存しようとすると、C:\fakepath から継承した読み取り専用権限は事実上不要になり、ファイル システムは明示的な権限をリッスンします。
6 か月後、jcitizen のマネージャーは、全員に C:\fakepath のフル コントロール権限を与えることにしました。フル コントロール権限は、ユーザーに付与できるファイル/フォルダー権限の最高レベルであるため (ファイルまたはフォルダーの所有権も取得できるため)、その下のファイルまたはフォルダーに設定されている明示的な権限よりも優先されます。
企業環境では常に、一度もないすべてのネットワーク ユーザーにフル コントロール権限を付与します。フル コントロール権限を持つ必要があるのは、ドメイン管理者だけです。私が勤務する会社のネットワーク (および DFS を実行する 2 つのファイル サーバー) を再構築したとき、ディレクターの日常的なアカウントにフル コントロール権限を付与せず、ドメインおよびエンタープライズ管理者権限を持つ 2 番目のアカウントを付与することにしました。
これで疑問が解消されたと思います。