Я разрабатываю некоторые отчеты для серии общих ресурсов Windows, и мне неясны детали реализации, касающиеся разрешений с запрещенными типами. При попытке вычислить результирующую эффективную маску, которой подвергается пользователь после компенсации всех разрешений share и ntfs, мне непонятно, как разместить запрещающий тип, если он присутствует на уровне общего ресурса.
В соответствии с Разрешения на общую папку, более ограничительное разрешение имеет приоритет между разрешениями общего ресурса и ntfs, а тип запрета на уровне общего ресурса заменяет любое разрешение на уровне ntfs.
Рассмотрим случай, когда пользователь-а имеет явный грант на Full Control как на уровне share, так и на уровне ntfs.
Если группа, которая пользователь-а является членом добавляется к акциям acl, любая комбинация отрицать, Read, Change или Full Control проявляется как отсутствие доступа к пользователь-а. Кроме того, с группой, установленной на Read по разрешению доли, пользователь-а невозможно удалить файл, если путь известен программно.
Фактически, если контекст, обращающийся к общему ресурсу, получает отказ от какой-либо маски, весь доступ запрещается на основе моих тестов.
Каков вариант использования трех вариантов маски с отказом, когда наименее ограничительный (чтение) полностью запрещает любой доступ? Я знаю, что вы можете программно установить более тонкие разрешения, однако зачем открывать даже 3 из пользовательского интерфейса, если все они ведут себя одинаково?