たとえば、ドメイン管理者にのみフォルダーへの書き込み権限を許可し、他のすべてのユーザーには許可しないようにしたいとします。
ドメイン管理者に書き込み権限を設定し、「認証済みユーザー」には読み取り専用を設定した場合、どちらが優先されますか?
ドメイン管理者の書き込み権限は、認証されたユーザーの読み取り専用権限よりも優先されますか? または、ドメイン管理者は認証されたユーザーに含まれているため、ドメイン管理者は書き込みできませんか?
ありがとう
答え1
ドメイン管理者は読み取りと書き込みが可能になり、認証されたユーザーは読み取りが可能になります。
答え2
ドメイン管理者に書き込み権限を設定し、「認証済みユーザー」には読み取り専用を設定した場合、どちらが優先されますか?
ドメイン管理者の書き込み権限は、認証されたユーザーの読み取り専用権限よりも優先されますか? または、ドメイン管理者は認証されたユーザーに含まれているため、ドメイン管理者は書き込みできませんか?
Windows ACLモデルでは、どちらが他方よりも優先されるかは決まっていません。和一致するすべての「許可」権限が使用されます。したがって、認証済みユーザーに X を付与し、ドメイン管理者に Y+Z を付与すると、ユーザーには実質的に X+Y+Z が付与されます。
しかし、拒否エントリは、どの「許可」エントリよりも優先順位が高くなります。(繰り返しますが、一致するすべての「拒否」エントリの合計が拒否されます。)
これは、NTFSファイル、ADエントリ、および他のほとんどのセキュリティ保護可能なオブジェクトにも同様に適用されます。ADの場合、アルゴリズムは次の場所で文書化されています。MS-ADTS。