Angenommen, ich möchte nur Domänenadministratoren Schreibberechtigungen für einen Ordner erteilen und allen anderen verbieten.
Wenn ich Schreibberechtigungen für Domänenadministratoren festlege, aber nur Leseberechtigungen für „authentifizierte Benutzer“, was hat dann Vorrang?
Ist die Schreibberechtigung der Domänenadministratoren wichtiger als die Leseberechtigung der authentifizierten Benutzer? Oder können die Domänenadministratoren nicht schreiben, weil sie zu den authentifizierten Benutzern zählen?
Danke
Antwort1
Domänenadministratoren können lesen und schreiben und authentifizierte Benutzer können lesen.
Antwort2
Wenn ich Schreibberechtigungen für Domänenadministratoren festlege, aber nur Leseberechtigungen für „authentifizierte Benutzer“, was hat dann Vorrang?
Ist die Schreibberechtigung der Domänenadministratoren wichtiger als die Leseberechtigung der authentifizierten Benutzer? Oder können die Domänenadministratoren nicht schreiben, weil sie zu den authentifizierten Benutzern zählen?
Im Windows ACL-Modell hat keiner eine höhere Priorität als der andere – stattdessenSummealler übereinstimmenden „Zulassen“-Berechtigungen wird verwendet. Wenn Sie also authentifizierten Benutzern X, Domänenadministratoren jedoch Y+Z gewähren, erhält der Benutzer effektiv X+Y+Z.
Jedoch,LeugnenEinträge haben eine höhere Priorität als alle „Zulassen“-Einträge. (Auch hier gilt, dass die Summe aller übereinstimmenden „Ablehnen“-Einträge abgelehnt wird.)
Dies gilt gleichermaßen für NTFS-Dateien, AD-Einträge und die meisten anderen zu schützenden Objekte. Speziell für AD ist der Algorithmus dokumentiert unterMS-ADTS.