我打算授予“更改权限”(WDAC)权限user。但是,我遇到了这个(WO)代表“取得所有权”的许可。两者有什么区别?user在(WDAC)没有(WO)权限集的情况下仍然可以更改权限吗?
我有以下场景,其中我(admin)将(DE,W)拒绝权限应用于已从父文件夹继承修改权限的以下文件test_folder夹test_user:
B:\>icacls test_folder
test_folder test_user:(I)(OI)(CI)(M)
admin:(I)(OI)(CI)(M)
B:\>icacls test_folder /deny test_user:(DE,W)
B:\>icacls test_folder
test_folder test_user:(DENY)(W,D)
test_user:(I)(OI)(CI)(M)
admin:(I)(OI)(CI)(M)
我期望的最终结果是test_user能够读取/执行访问权限, test_folder而无法删除/重命名文件夹并向其添加文件夹/文件。
但是,结果test_folder根本不可见test_user。我test_folder仍然可以看到 ( admin)。
虽然我只否认DE:
B:\>icacls test_folder
test_folder test_user:(I)(OI)(CI)(M)
admin:(I)(OI)(CI)(M)
B:\>icacls test_folder /deny test_user:(DE)
B:\>icacls test_folder
test_folder test_user:(DENY)(D)
test_user:(I)(OI)(CI)(M)
admin:(I)(OI)(CI)(M)
test_user能够看到test_folder。所以不知何故W导致了一个问题。
知道为什么会这样吗?