Мы контролируем доступ к нашим файловым ресурсам с помощью групп безопасности в AD.
\ ЗОНА
Группа ZONE (чтение и выполнение, только эта папка) Группа ZONE-Write (изменение, эта папка, подпапки и файлы)
Пользователь «rick.deckard» находится в группе безопасности ZONE-Write и поэтому имеет доступ на изменение всей папки \ ZONE.
Если rick.deckard создает каталог
\ ЗОНА \ BR1
ACE «rick.deckard» входит в ACL для каталога BR1 с «Полный доступ, только эта папка».
Если мы впоследствии удалим «rick.deckard» из группы безопасности ZONE-Write, он вообще не сможет получить доступ к дереву ZONE. Если только он не отобразит \ ZONE \ BR1 напрямую, и тогда он все еще будет иметь полный контроль над этим каталогом!
Эти пользовательские записи ACE в ACL остаются даже после отмены доступа через группу безопасности.
Это нормальное поведение?
Как настроить метод "Только группа безопасности" для предоставления доступа к каталогу ZONE, при котором при создании каталога не устанавливаются определенные пользовательские ACE?
Любая помощь будет оценена.