De acordo com o artigo: http://ntfs.com/ntfs-permissions-precedence.htm
A hierarquia de precedência das permissões pode ser resumida da seguinte forma, com as permissões de precedência mais altas listadas no topo da lista:
- Negação explícita
- Permissão explícita
- Negação herdada
- Permissão herdada
Também é verdade: as permissões de arquivo substituem as permissões de pasta, a menos que a permissão Controle total tenha sido concedida à pasta.
Não entendi este parágrafo:As permissões de arquivo substituem as permissões de pasta, a menos que a permissão Controle total tenha sido concedida à pasta
Estamos falando de uma pasta com um arquivo? Isso significa que se a pasta contiver um arquivo com permissão Permitir controle total, o arquivo nessa pasta terá todas as permissões, mesmo se o arquivo estiver definido como Negar gravação?
Responder1
O que isso significa é (por exemplo):
O usuário "DOMAIN\jcitizen" recebeu acesso somente leitura ao diretório C:\fakepath, e nesta pasta existe um arquivo chamado "document.docx". Neste momento, o jcitizen pode abrir o arquivo para ler seu conteúdo, mas não pode salvar nenhuma alteração.
3 meses depois, o gerente do jcitizen criou outro arquivo, chamado "adobe.pdf" e colocou-o em C:\fakepath. O gerente decidiu que o jcitizen teria a capacidade de salvar e fazer alterações nas permissões de acesso em document.docx, então eles definiram explicitamente as permissões de Controle Total em C:\fakepath\document.docx para jcitizen.
Como as permissões explícitas substituem as permissões herdadas, quando jcitizen tenta salvar quaisquer alterações em document.docx (como adicionar um novo parágrafo de texto e conceder acesso somente leitura a DOMAIN\jdoe), as permissões somente leitura herdadas de C:\fakepath foram efetivamente redundantes e o sistema de arquivos escuta as permissões explícitas.
Agora, 6 meses depois, o gerente do jcitizen decide dar a todos permissões de Controle Total em C:\fakepath. Como a permissão Controle total é o nível mais alto de permissão de arquivo/pasta que pode ser concedida a um usuário (já que também pode apropriar-se de um arquivo ou pasta), ela substitui quaisquer permissões explícitas definidas em quaisquer arquivos ou pastas abaixo dela.
Em um ambiente corporativo, é sempre aconselhávelNUNCAdê controle total a qualquer usuário da rede. As únicas pessoas ou grupos que deveriam ter controle total são os administradores de domínio. Quando reconstruí a rede (assim como os dois servidores de arquivos executando o DFS) para a empresa em que trabalho, nem concedi permissões de Controle Total à conta diária do nosso diretor e optei por dar a eles uma segunda conta com Privilégios de administrador de domínio e empresa.
Espero que isso esclareça para você.