Согласно статье: http://ntfs.com/ntfs-permissions-precedence.htm
Иерархию приоритетов для разрешений можно резюмировать как следует, с разрешениями с более высоким приоритетом, перечисленными в верхней части список:
- Explicit Deny
- Explicit Allow
- Inherited Deny
- Inherited Allow
Также верно: Права доступа к файлам имеют приоритет над разрешениями для папок, если только Полный доступ разрешение предоставлено папке.
Я не понимаю этот абзац: Права доступа к файлам имеют приоритет над правами доступа к папке, если только для папки не предоставлено разрешение Полный доступ.
Мы говорим о папке с файлом в этом? Означает ли это, что если папка содержит файл с разрешением «Разрешить полный доступ», файл в этой папке будет иметь все разрешения, даже если для файла задано значение «Запретить запись»?
Это означает следующее (в качестве примера):
Пользователю "DOMAIN\jcitizen" был предоставлен доступ только для чтения к каталогу C:\fakepath, и в этой папке существует файл с именем "document.docx ". На данный момент jcitizen может открыть файл, чтобы прочитать его содержимое, но не может сохранить какие-либо изменения.
3 месяца спустя менеджер jcitizen создал еще один файл с именем «adobe.pdf» и поместил его в C:\fakepath. Менеджер решил, что у jcitizen должна быть возможность сохранять изменения и вносить изменения в разрешения на доступ к document.docx, поэтому они явно установили для jcitizen разрешения на полный доступ к C:\fakepath\document.docx.
Поскольку явные разрешения переопределяют унаследованные разрешения, когда jcitizen пытается сохранить какие-либо изменения в document.docx (например, добавление нового абзаца текста и предоставление доступа только для чтения к DOMAIN\jdoe), разрешения только для чтения, унаследованные от C :\fakepath были фактически избыточны, и файловая система прослушивает явные разрешения.
Теперь, 6 месяцев спустя, менеджер jcitizen решает предоставить всем полный доступ к C:\fakepath. Поскольку разрешение «Полный доступ» является высшим уровнем разрешения на файл/папку, которое может быть предоставлено пользователю (поскольку оно также может стать владельцем файла или папки), оно заменяет любые явные разрешения, установленные для любых файлов или папок ниже него.
В корпоративной среде рекомендуется НИКОГДА не предоставлять полный доступ любому пользователю сети. Единственными людьми или группами, которые должны когда-либо иметь полный доступ, являются администраторы домена.Когда я перестраивал сеть (а также два файловых сервера с DFS) для компании, в которой я работаю, я даже не давал права полного доступа нашему директору для повседневной учетной записи и решил дать им вторую учетную запись с Права администратора домена и предприятия.
Надеюсь, это прояснило для вас ситуацию.