根據這篇文章: http://ntfs.com/ntfs-permissions-precedence.htm
權限的優先順序可概括如下,優先順序較高的權限列在清單頂部:
- 明確拒絕
- 顯式允許
- 繼承拒絕
- 繼承允許
同樣正確:檔案權限會覆蓋資料夾權限,除非已向資料夾授予完全控制權限。
我不明白這一段:檔案權限覆蓋資料夾權限,除非已向資料夾授予完全控制權限
我們正在談論其中包含文件的資料夾嗎?是否意味著如果該資料夾包含具有「允許完全控制」權限的文件,則該資料夾中的文件將具有所有權限,即使該文件設定為「拒絕寫入」?
答案1
它的含義是(作為示例):
使用者「DOMAIN\jcitizen」被授予對目錄 C:\fakepath 的唯讀存取權限,並且在此資料夾中存在一個名為「document.docx」的檔案。此時,jcitizen 可以開啟檔案以讀取其內容,但無法儲存任何變更。
3 個月後,jcitizen 的經理創建了另一個文件,名為“adobe.pdf”,並將其放置在 C:\fakepath 中。經理決定 jcitizen 能夠保存對 document.docx 的變更並更改其存取權限,因此他們明確地為 jcitizen 設定了對 C:\fakepath\document.docx 的「完全控制」權限。
由於顯式權限會覆蓋繼承的權限,因此當jcitizen 嘗試保存對document.docx 的任何更改(例如添加新的文本段落並授予對DOMAIN\jdoe 的唯讀訪問權限)時,它從C:\fakepath 繼承的唯讀權限有效地進行了冗餘,並且檔案系統監聽顯式權限。
現在,6 個月後,jcitizen 的經理決定授予每個人對 C:\fakepath 的完全控制權限。由於完全控制權限是可以授予使用者的最高層級的檔案/資料夾權限(因為它還可以取得檔案或資料夾的所有權),因此它取代對其下方的任何檔案或資料夾設定的任何明確權限。
在公司環境中,始終建議絕不為任何網路使用者提供完全控制。唯一應該擁有完全控制權的人員或群組是網域管理員。當我為我工作的公司重建網路(以及運行 DFS 的兩個文件伺服器)時,我什至沒有給我們主管的日常帳戶完全控制權限,並選擇給他們第二個帳戶網域和企業管理員權限。
我希望這能為您解決問題。