Согласно статье: http://ntfs.com/ntfs-permissions-precedence.htm
Иерархию приоритета для разрешений можно резюмировать следующим образом, с разрешениями с более высоким приоритетом, указанными в верхней части списка:
- Явное отрицание
- Явное разрешение
- Унаследованный отказ
- Унаследовано Разрешить
Также верно: права доступа к файлам имеют приоритет над разрешениями для папки, если для папки не было предоставлено разрешение «Полный доступ».
Я не понимаю этот абзац: Права доступа к файлам имеют приоритет над разрешениями для папки, если для папки не было предоставлено разрешение «Полный доступ».
Мы говорим о папке с файлом в ней? Означает ли это, что если папка содержит файл с разрешением «Разрешить полный доступ», файл в этой папке будет иметь все разрешения, даже если для файла задано значение «Запретить запись»?
Это означает (в качестве примера):
Пользователь «DOMAIN \ jcitizen» получил доступ только для чтения к каталогу C: \ fakepath, и в этой папке существует файл с именем «document.docx». В этот момент jcitizen может открыть файл для чтения его содержимого, но не может сохранить какие-либо изменения.
3 месяца спустя менеджер jcitizen создал еще один файл под названием «adobe.pdf» и поместил его в C: \ fakepath. Менеджер решил, что jcitizen должен иметь возможность сохранять изменения и вносить изменения в разрешения доступа к document.docx, поэтому они явно установили разрешения полного доступа на C: \ fakepath \ document.docx для jcitizen.
Поскольку явные разрешения переопределяют унаследованные разрешения, когда jcitizen пытается сохранить любые изменения в document.docx (например, добавление нового абзаца текста и предоставление доступа только для чтения к DOMAIN \ jdoe), разрешения только для чтения, унаследованные от C: \ fakepath были фактически избыточными, и файловая система слушает явные разрешения.
Теперь, 6 месяцев спустя, менеджер jcitizen решает предоставить всем разрешения на полный доступ к C: \ fakepath. Поскольку разрешение «Полный доступ» - это наивысший уровень разрешения для файла / папки, который может быть предоставлен пользователю (поскольку он также может стать владельцем файла или папки), оно заменяет любые явные разрешения, установленные для любых файлов или папок ниже него.
В корпоративной среде всегда рекомендуется НИКОГДА предоставить полный доступ любому пользователю сети. Единственные люди или группы, которые когда-либо должны иметь полный доступ, - это администраторы домена. Когда я перестроил сеть (а также два файловых сервера, на которых запущена DFS) для компании, в которой я работаю, я даже не дал повседневной учетной записи нашего директора разрешения на полный доступ и решил предоставить им вторую учетную запись с Права администратора домена и предприятия.
Надеюсь, это проясняет вам ситуацию.