![拒绝 NTFS 文件夹上的 ACE 表示权限被继承,但父级上没有 ACE](https://linux22.com/image/555628/%E6%8B%92%E7%BB%9D%20NTFS%20%E6%96%87%E4%BB%B6%E5%A4%B9%E4%B8%8A%E7%9A%84%20ACE%20%E8%A1%A8%E7%A4%BA%E6%9D%83%E9%99%90%E8%A2%AB%E7%BB%A7%E6%89%BF%EF%BC%8C%E4%BD%86%E7%88%B6%E7%BA%A7%E4%B8%8A%E6%B2%A1%E6%9C%89%20ACE.png)
我们有一个网络共享,其中 NTFS 文件夹权限表明特定用户被拒绝访问,并且此权限是从父文件夹继承的。但是,父文件夹没有此用户的 ACE。
怎么会这样?
答案1
目录是否被移动了?
一些微软工程师的绝妙想法是,继承的权限应该通过移动来保留,即使目录不再在继承范围内。
然后 ACE 会说它是从“父级”继承的,而不是显示定义 ACE 的确切目录。
显然,这种行为在雷德蒙德是合理的。参见这个问题以供参考。
答案2
根据我的经验,这种情况可能以两种方式发生:
- 正如 Shane 指出的那样,该文件是从同一卷/共享上的另一个目录移动过来的。在这种情况下,权限不会被重置。
- 有人从目录树的较高级别移除了拒绝权限,但在将权限更改传播到该点以下的每个对象的过程中(可能非常漫长)点击了“取消”。尚未到达的文件将显示您所看到的内容。
还有第三种方法,但其表现形式发生了变化:文件是从备份中恢复的,并且恢复并没有重置继承的权限。
答案3
我想知道 Win 2003 Server 上是否有人尝试过按照建议创建注册表设置 MoveSecurityAttributes这篇微软文章? 据称,这会强制对象继承目标文件夹父级的权限。