假設我只想允許網域管理員對資料夾的寫入權限,並禁止其他人。
如果我為網域管理員設定寫入權限,但為「經過驗證的使用者」設定唯讀權限,哪個優先?
網域管理員的寫入權限是否勝過經過驗證的使用者的唯讀權限?或者網域管理員將無法寫入,因為網域管理員包含在經過驗證的使用者中?
謝謝
答案1
網域管理員將能夠讀取和寫入,並且經過身份驗證的使用者將能夠讀取。
答案2
如果我為網域管理員設定寫入權限,但為「經過驗證的使用者」設定唯讀權限,哪個優先?
網域管理員的寫入權限是否勝過經過驗證的使用者的唯讀權限?或者網域管理員將無法寫入,因為網域管理員包含在經過驗證的使用者中?
在 Windows ACL 模型中,兩者都沒有比另一個更高的優先權 – 相反和使用所有符合的「允許」權限。因此,如果您將 X 授予經過身份驗證的用戶,但將 Y+Z 授予網域管理員,則該用戶實際上被授予 X+Y+Z。
然而,否定條目的優先順序高於任何「允許」條目。 (同樣,所有符合的「拒絕」條目的總和將被拒絕。)
這同樣適用於 NTFS 檔案、AD 條目和大多數其他安全性物件。特別是對於 AD,該演算法記錄在MS-ADTS。