在 Windows 7/10 中创建新用户时有什么区别。当其用户类型添加到“管理员”组时,情况就一目了然了。如果其属于“用户”,情况也一目了然。但是,这个用户同时属于用户组和管理员组吗?它是两个组的总和吗?因此,实际上它拥有比管理员更高的权限,还是被“用户”降为普通用户?
与授予资源的 NTFS 权限进行类比 - 当“拒绝”权限比“允许”权限更重要时,这里是否正确?
答案1
但是如果用户同时属于用户组和管理员组怎么办?
它是两个组的总和 - 所以实际上具有来自管理员的更高权限还是被“用户”降低为普通用户?
明确拒绝权限优先于其他一切。
NTFS 权限的优先等级可概括如下,按优先级从高到低的顺序排列:
明确拒绝
明确允许
继承拒绝
继承允许
此示例中的最终效果是拒绝管理员帐户的访问,因为“显式拒绝”权限在优先级层次中排第一位,而“继承允许”权限排第四位(甚至显式允许仍然只是第二名):
如果您随后尝试通过单击 来覆盖拒绝权限Continue,您将会看到以下消息,并被迫从“安全”选项卡中手动删除明确的拒绝权限才能重新获得访问权限。
发生这种情况的原因是,无论多少允许权限都无法覆盖明确的拒绝权限:
