도메인 관리자에게 폴더에 대한 쓰기 권한만 허용하고 다른 모든 사용자에게는 허용하지 않으려고 한다고 가정해 보겠습니다.
도메인 관리자에 대한 쓰기 권한을 설정하고 '인증된 사용자'에 대한 읽기 전용 권한을 설정하면 어느 것이 우선적으로 적용되나요?
도메인 관리자의 쓰기 권한이 인증된 사용자의 읽기 전용 권한보다 우선합니까? 아니면 인증된 사용자에 도메인 관리자가 포함되어 있어서 도메인 관리자가 글을 쓸 수 없게 됩니까?
감사합니다
답변1
도메인 관리자는 읽고 쓸 수 있으며, 인증된 사용자는 읽을 수 있습니다.
답변2
도메인 관리자에 대한 쓰기 권한을 설정하고 '인증된 사용자'에 대한 읽기 전용 권한을 설정하면 어느 것이 우선적으로 적용되나요?
도메인 관리자의 쓰기 권한이 인증된 사용자의 읽기 전용 권한보다 우선합니까? 아니면 인증된 사용자에 도메인 관리자가 포함되어 있어서 도메인 관리자가 글을 쓸 수 없게 됩니까?
Windows ACL 모델에서는 어느 쪽도 다른 쪽보다 우선 순위가 높지 않습니다.합집합일치하는 모든 "허용" 권한이 사용됩니다. 따라서 인증된 사용자에게 X를 부여하고 도메인 관리자에게 Y+Z를 부여하면 사용자에게 사실상 X+Y+Z가 부여됩니다.
하지만,부인하다항목은 "허용" 항목보다 우선순위가 높습니다. (다시 말하지만, 일치하는 모든 "거부" 항목의 합계가 거부됩니다.)
이는 NTFS 파일, AD 항목 및 대부분의 기타 보안 개체에 동일하게 적용됩니다. 특히 AD의 경우 알고리즘은 다음에 문서화되어 있습니다.MS-ADTS.