Согласно статье: http://ntfs.com/ntfs-permissions-precedence.htm
Иерархию приоритетов разрешений можно обобщить следующим образом, при этом разрешения с более высоким приоритетом перечислены в верхней части списка:
- Явный запрет
- Явное разрешение
- Унаследовано Отрицать
- Унаследовано Разрешить
Также верно: разрешения для файлов переопределяют разрешения для папок, если только папке не предоставлено разрешение «Полный доступ».
Я не понимаю этот абзац:Разрешения для файлов переопределяют разрешения для папок, если только папке не предоставлено разрешение «Полный доступ».
Мы говорим о папке с файлом в ней? Означает ли это, что если папка содержит файл с разрешением Allow Full control, файл в этой папке будет иметь все разрешения, даже если для файла установлено Deny Write?
решение1
Вот что это означает (в качестве примера):
Пользователю "DOMAIN\jcitizen" был предоставлен доступ только для чтения к каталогу C:\fakepath, и в этой папке существует файл с именем "document.docx". На данный момент jcitizen может открыть файл, чтобы прочитать его содержимое, однако не может сохранить какие-либо изменения.
3 месяца спустя менеджер jcitizen создал другой файл, названный "adobe.pdf", и поместил его в C:\fakepath. Менеджер решил, что jcitizen должен иметь возможность сохранять изменения и вносить изменения в разрешения на доступ к document.docx, поэтому он явно установил разрешения Full Control на C:\fakepath\document.docx для jcitizen.
Поскольку явные разрешения переопределяют унаследованные разрешения, когда jcitizen пытается сохранить какие-либо изменения в document.docx (например, добавление нового абзаца текста и предоставление доступа только для чтения к DOMAIN\jdoe), разрешения только для чтения, унаследованные от C:\fakepath, фактически становятся избыточными, и файловая система прослушивает явные разрешения.
Теперь, 6 месяцев спустя, менеджер jcitizen решает дать всем разрешения Full Control на C:\fakepath. Поскольку разрешение Full Control является наивысшим уровнем разрешения файла/папки, которое может быть предоставлено пользователю (так как он также может стать владельцем файла или папки), оно заменяет любые явные разрешения, установленные для любых файлов или папок ниже.
В корпоративной среде всегда целесообразноНИКОГДАпредоставить Полный доступ любому сетевому пользователю. Единственные люди или группы, которые когда-либо должны иметь Полный доступ, — это Администраторы домена. Когда я перестраивал сеть (а также два файловых сервера, на которых запущен DFS) для компании, в которой я работаю, я даже не предоставил повседневному аккаунту нашего директора разрешения Полный доступ, а решил предоставить ему второй аккаунт с привилегиями Администратора домена и предприятия.
Надеюсь, это прояснит для вас ситуацию.