Допустим, я хочу разрешить запись в папку только администраторам домена и запретить всем остальным.
Если я устанавливаю разрешения на запись для администраторов домена, а затем только на чтение для «аутентифицированных пользователей», что имеет приоритет?
Имеет ли право администратора домена на запись большее значение, чем право только на чтение для аутентифицированных пользователей? Или администраторы домена не смогут писать, потому что администраторы домена включены в аутентифицированных пользователей?
Спасибо
решение1
Администраторы домена смогут читать и писать, а аутентифицированные пользователи смогут читать.
решение2
Если я устанавливаю разрешения на запись для администраторов домена, а затем только на чтение для «аутентифицированных пользователей», что имеет приоритет?
Имеет ли право администратора домена на запись большее значение, чем право только на чтение для аутентифицированных пользователей? Или администраторы домена не смогут писать, потому что администраторы домена включены в аутентифицированных пользователей?
В модели ACL Windows ни один из них не имеет более высокого приоритета, чем другой — вместо этогосуммавсех соответствующих разрешений «Разрешить». Таким образом, если вы предоставляете X для аутентифицированных пользователей, но Y+Z для администраторов домена, пользователю фактически предоставляется X+Y+Z.
Однако,ОтрицатьЗаписи имеют более высокий приоритет, чем любая запись «Разрешить». (Опять же, сумма всех соответствующих записей «Запретить» будет отклонена.)
Это в равной степени относится к файлам NTFS, записям AD и большинству других защищаемых объектов. Для AD в частности алгоритм документирован наMS-ADTS.