考虑以下共享权利:
Security \\dev\profiles\
rw – Administrators
Security \\dev\profiles\bambus02
inherited AND
rw – bambus02
Sharing \\dev\profiles
rw – Everyone
作为“bambus02”,我的访问\\dev\profiles
被拒绝,但访问\\dev\profiles\bambus02
被允许具有完全权限 - 这确实是所希望的行为,但问题是:
为什么我可以访问子文件夹在路径上上层文件夹(个人资料)有拒绝访问?
ACL 检查的工作方式难道不是这样吗?从上到下检查所有路径段,当其中任何一个不允许时就停止?
答案1
您需要查看共享文件夹的高级安全设置(详细的 NTFS 权限)。最有可能的是,您会发现您的用户帐户具有“遍历文件夹/执行文件”权限。
即使您没有此权限,默认设置也会完全绕过此限制。
对于文件夹:遍历文件夹权限仅适用于文件夹。此权限允许或拒绝用户在文件夹中移动以访问其他文件或文件夹,即使用户对遍历的文件夹没有权限。仅当组或用户未被授予绕过遍历检查用户权限时,遍历文件夹才会生效。绕过遍历检查用户权限检查组策略管理单元中的用户权限。默认情况下,Everyone 组被授予绕过遍历检查用户权限。
来源:知识库文章 308419