如果我以非管理员用户身份在用户具有完全权限的文件夹中创建文件(TestFile.txt),然后以管理员身份拒绝从服务器对该文件的所有访问,则用户将无法再修改、复制、重命名等,但出于某种原因仍然可以删除该文件....
以下是 icacls 命令的输出:
TestFile.txt STATE\CV0228U:(N)
STATE\CV0228U:(I)(M,WDAC,DC)
STATE\CV0228U:(I)(F)
NT AUTHORITY\SYSTEM:(I)(F)
BUILTIN\Administrators:(I)(F)
STATE\DOA MPERA Staff:(I)(S,RD,X,RA)
我以为“拒绝”优先于所有其他隐含或继承的权利?谢谢
答案1
造成这种情况的原因是由于这一行:
STATE\CV0228U:(I)(M,WDAC,DC)
这是从父目录继承的,“DC”表示它授予“删除子目录”权限。这允许权限持有者删除该目录中的文件和文件夹。在这种情况下,对文件本身的明确拒绝被父级权限所取代。
为了做您想做的事情,请避免为目录分配“删除子项”权限,而只分配“删除”。
答案2
拒绝权限并不总是优于其他权限。我的建议是查看该用户对文件的有效权限。
http://technet.microsoft.com/en-us/library/cc736316(WS.10).aspx