Назад | Перейти на главную страницу

Разница между записями управления доступом NTFS между выводом icacls и графическим интерфейсом

Когда я добавляю / редактирую разрешения NTFS для пользователя / группы из командной строки через приложение icacls, я получаю несколько записей ACE в списке для одного и того же, в то время как из графического интерфейса каждый ACE (поскольку они все одинаковые) уплотняются в Однократная.

Я не смог найти какой-либо полезной информации в официальной документации по причине того, почему это происходит.

Кто-нибудь сталкивался с этой или подобными ситуациями и может пролить свет на этот вопрос?

Вы можете четко увидеть ситуацию на прикрепленном изображении, у одного пользователя есть несколько записей, и их нужно сжать в одну.

Список управления доступом (ACL), все разрешения для файла или папки разделены в записях управления доступом (ACE).

В вашем случае разрешение Full Access to this folder, subfolders and files хранится в 4 ACE, где первые три вместе эквивалентны четвертому.

Я запрограммировал некоторые инструменты NTFS для управления разрешениями и часто видел это, когда Full Access предоставляется (до Server 2008 R2 / Windows 7). Разрешения действительно хранятся в ACL таким образом. Начиная с Server 2012 / Vista поведение изменилось, и я больше не нашел этого.

Исключите icacls C: \, и вы всегда найдете (до Server 2008 R2):

BUILTIN\Administrators:(F)
BUILTIN\Administrators:(OI)(CI)(IO)(F)

... которые также могут храниться в одном ACE как

BUILTIN\Administrators:(OI)(CI)(F) 

Я не выяснил, почему это так, но это очень распространено.