假设我只想允许域管理员对文件夹具有写入权限,而不允许其他所有人具有写入权限。
如果我为域管理员设置写权限,但为“经过身份验证的用户”设置只读权限,那么哪个权限优先?
域管理员的写入权限是否优于经过身份验证的用户的只读权限?或者域管理员是否无法写入,因为域管理员包含在经过身份验证的用户中?
谢谢
答案1
域管理员将能够读取和写入,并且经过身份验证的用户将能够读取。
答案2
如果我为域管理员设置写权限,但为“经过身份验证的用户”设置只读权限,那么哪个权限优先?
域管理员的写入权限是否优于经过身份验证的用户的只读权限?或者域管理员是否无法写入,因为域管理员包含在经过身份验证的用户中?
在 Windows ACL 模型中,两者的优先级都不高,相反和所有匹配的“允许”权限均被使用。因此,如果您向经过身份验证的用户授予 X,但向域管理员授予 Y+Z,则该用户实际上被授予了 X+Y+Z。
然而,否定条目的优先级高于任何“允许”条目。(同样,所有匹配的“拒绝”条目的总和都将被拒绝。)
这同样适用于 NTFS 文件、AD 条目和大多数其他可安全对象。对于 AD,该算法记录在质谱ADTS。