Según el artículo: http://ntfs.com/ntfs-permissions-precedence.htm
La jerarquía de precedencia de los permisos se puede resumir de la siguiente manera, con los permisos de mayor prioridad enumerados en la parte superior de la lista:
- Denegación explícita
- Permitir explícitamente
- Denegar heredado
- Permitir heredado
También es cierto: los permisos de archivos anulan los permisos de carpetas, a menos que se haya otorgado el permiso de Control total a la carpeta.
No entiendo este párrafo:Los permisos de archivo anulan los permisos de carpeta, a menos que se haya otorgado el permiso de Control total a la carpeta
¿Estamos hablando de una carpeta con un archivo dentro? ¿Significa que si la carpeta contiene un archivo que tiene el permiso Permitir control total, el archivo en esa carpeta tendrá todos los permisos, incluso si el archivo está configurado en Denegar escritura?
Respuesta1
Lo que significa es (como ejemplo):
Al usuario "DOMAIN\jcitizen" se le dio acceso de solo lectura al directorio C:\fakepath, y en esta carpeta existe un archivo llamado "document.docx". En este momento, jcitizen puede abrir el archivo para leer su contenido, sin embargo, no puede guardar ningún cambio.
3 meses después, el administrador de jcitizen creó otro archivo, llamado "adobe.pdf" y lo colocó en C:\fakepath. El administrador decidió que jcitizen tendría la capacidad de guardar cambios y realizar cambios en los permisos de acceso en document.docx, por lo que estableció explícitamente permisos de control total en C:\fakepath\document.docx para jcitizen.
Como los permisos explícitos anulan los permisos heredados, cuando jcitizen intenta guardar cualquier cambio en document.docx (como agregar un nuevo párrafo de texto y otorgar acceso de solo lectura a DOMINIO\jdoe) los permisos de solo lectura que heredó de C:\fakepath se hicieron efectivamente redundantes y el sistema de archivos escucha los permisos explícitos.
Ahora, 6 meses después, el administrador de jcitizen decide darles a todos permisos de control total en C:\fakepath. Como el permiso Control total es el nivel más alto de permiso de archivo/carpeta que se puede otorgar a un usuario (ya que también puede tomar posesión de un archivo o carpeta), reemplaza cualquier permiso explícito establecido en cualquier archivo o carpeta debajo de él.
En un entorno corporativo, siempre es aconsejableNUNCADar control total a cualquier usuario de la red. Las únicas personas o grupos que deberían tener control total son los administradores de dominio. Cuando reconstruí la red (así como los dos servidores de archivos que ejecutan DFS) para la empresa para la que trabajo, ni siquiera le di permisos de Control total a la cuenta diaria de nuestro director y opté por darles una segunda cuenta con Privilegios de administrador de dominio y empresa.
Espero que esto te lo aclare.