Digamos que eu gostaria de permitir apenas permissões de gravação de administradores de domínio em uma pasta e proibir todos os outros.
Se eu definir permissões de gravação para administradores de domínio, mas somente leitura para 'usuários autenticados', o que terá precedência?
A permissão de gravação dos administradores de domínio supera a permissão somente leitura dos usuários autenticados? Ou os administradores de domínio não conseguirão escrever porque os administradores de domínio estão incluídos em usuários autenticados?
Obrigado
Responder1
Os administradores de domínio poderão ler e escrever, e os usuários autenticados poderão ler.
Responder2
Se eu definir permissões de gravação para administradores de domínio, mas somente leitura para 'usuários autenticados', o que terá precedência?
A permissão de gravação dos administradores de domínio supera a permissão somente leitura dos usuários autenticados? Ou os administradores de domínio não conseguirão escrever porque os administradores de domínio estão incluídos em usuários autenticados?
No modelo Windows ACL, nenhum deles tem maior precedência que o outro – em vez disso, osomade todas as permissões "Permitir" correspondentes são usadas. Portanto, se você conceder X para usuários autenticados, mas Y+Z para administradores de domínio, o usuário receberá efetivamente X+Y+Z.
No entanto,Negaras entradas têm precedência mais alta do que qualquer entrada "Permitir". (Novamente, a soma de todas as entradas "Negar" correspondentes será negada.)
Isso se aplica igualmente a arquivos NTFS, entradas AD e à maioria dos outros objetos protegíveis. Especificamente para AD, o algoritmo está documentado emMS-ADTS.