Назад | Перейти на главную страницу

Запретить ACE в папке NTFS указывает, что разрешения унаследованы, но нет ACE для родительского

У нас есть общий сетевой ресурс, в котором разрешения NTFS-папки указывают, что конкретному пользователю запрещен доступ, и что это разрешение наследуется от родительской папки. Однако в родительской папке нет ACE для этого пользователя.

Как это может быть?

По моему опыту, это может произойти двумя способами:

  1. Как указал Шейн, файл был перемещен из другого каталога на том же томе / общем ресурсе. В этом случае права не сбрасываются.
  2. Кто-то удалил право «Запретить» с более высокого уровня в дереве каталогов, но нажал «отменить» во время (потенциально очень долгого) процесса распространения этого изменения прав на каждый объект ниже этой точки. Файлы, которые еще не были доступны, будут показывать именно то, что вы видите.

Есть и третий способ, но его проявление меняется: файл был восстановлен из резервной копии, и при восстановлении унаследованные права не сбрасывались.

Мне интересно, пытался ли кто-нибудь на Win 2003 Server создать параметр реестра MoveSecurityAttributes, как предлагается в эта статья Microsoft? Это якобы заставляет объект наследовать разрешения родительской папки назначения.

Каталог был перемещен?

Блестящая идея одного инженера Microsoft заключалась в том, что унаследованные разрешения должны сохраняться при перемещении, даже если каталог больше не входит в область наследования.

Затем ACE скажет, что он унаследован от «родителя», вместо того, чтобы отображать точный каталог, в котором определен ACE.

Очевидно, такое поведение имело смысл в Редмонде. Видеть этот вопрос для справки.