boog Asked: 2022-11-22 07:28:38 +0800 CST2022-11-22 07:28:38 +0800 CST 2022-11-22 07:28:38 +0800 CST 简单的 NTFS/权限 772 假设我只想允许域管理员对文件夹写入权限,而不允许其他人。 如果我为域管理员设置写入权限,但为“经过身份验证的用户”设置只读权限,哪个优先? 域管理员的写入权限是否胜过经过身份验证的用户的只读权限?或者域管理员是否会因为域管理员包含在经过身份验证的用户中而无法写入? 谢谢 active-directory 2 个回答 Voted Best Answer Greg Askew 2022-11-22T07:57:46+08:002022-11-22T07:57:46+08:00 域管理员将能够读取和写入,经过身份验证的用户将能够读取。 user1686 2022-11-22T08:31:00+08:002022-11-22T08:31:00+08:00 如果我为域管理员设置写入权限,但为“经过身份验证的用户”设置只读权限,哪个优先? 域管理员的写入权限是否胜过经过身份验证的用户的只读权限?或者域管理员是否会因为域管理员包含在经过身份验证的用户中而无法写入? 在 Windows ACL 模型中,两者的优先级都不高于另一个——而是使用所有匹配的“允许”权限的总和。因此,如果您将 X 授予经过身份验证的用户,而将 Y+Z 授予域管理员,则用户实际上被授予 X+Y+Z。 但是,拒绝条目的优先级高于任何“允许”条目。(同样,所有匹配的“拒绝”条目的总和将被拒绝。) 这同样适用于 NTFS 文件、AD 条目和大多数其他安全对象。具体对于 AD,该算法记录在MS-ADTS中。
域管理员将能够读取和写入,经过身份验证的用户将能够读取。
在 Windows ACL 模型中,两者的优先级都不高于另一个——而是使用所有匹配的“允许”权限的总和。因此,如果您将 X 授予经过身份验证的用户,而将 Y+Z 授予域管理员,则用户实际上被授予 X+Y+Z。
但是,拒绝条目的优先级高于任何“允许”条目。(同样,所有匹配的“拒绝”条目的总和将被拒绝。)
这同样适用于 NTFS 文件、AD 条目和大多数其他安全对象。具体对于 AD,该算法记录在MS-ADTS中。