根据这篇文章: http://ntfs.com/ntfs-permissions-precedence.htm
权限的优先等级可以概括如下,优先级较高的权限列在列表顶部:
- 明确拒绝
- 明确允许
- 继承拒绝
- 继承允许
同样正确:文件权限会覆盖文件夹权限,除非已授予文件夹完全控制权限。
我不明白这一段:文件权限覆盖文件夹权限,除非已向文件夹授予完全控制权限
我们谈论的是包含文件的文件夹吗?这是否意味着如果文件夹包含具有“允许完全控制”权限的文件,则该文件夹中的文件将具有所有权限,即使该文件设置为“拒绝写入”?
答案1
其含义是(例如):
用户“DOMAIN\jcitizen”被授予了目录 C:\fakepath 的只读权限,而此文件夹中有一个名为“document.docx”的文件。此时,jcitizen 可以打开该文件并读取其内容,但无法保存任何更改。
3 个月后,jcitizen 的经理创建了另一个文件,名为“adobe.pdf”,并将其放在 C:\fakepath 中。经理决定让 jcitizen 能够保存对 document.docx 的更改并更改访问权限,因此他们明确为 jcitizen 设置了对 C:\fakepath\document.docx 的完全控制权限。
由于明确的权限覆盖了继承的权限,当 jcitizen 尝试保存对 document.docx 的任何更改(例如添加新的文本段落并授予 DOMAIN\jdoe 只读访问权限)时,它从 C:\fakepath 继承的只读权限实际上变得多余,并且文件系统会监听明确的权限。
现在,6 个月后,jcitizen 的经理决定授予每个人对 C:\fakepath 的完全控制权限。由于完全控制权限是可以授予用户的最高级别的文件/文件夹权限(因为它也可以拥有文件或文件夹的所有权),因此它会取代对其下的任何文件或文件夹设置的任何明确权限。
在企业环境中,始终建议绝不给予任何网络用户完全控制权。唯一应该拥有完全控制权的人或组是域管理员。当我为我工作的公司重建网络(以及运行 DFS 的两个文件服务器)时,我甚至没有给予我们主管的日常帐户完全控制权限,而是选择给予他们具有域和企业管理员权限的第二个帐户。
我希望这能帮你解答这个问题。