Встречаю периодически такой момент, что явные разрешения доступа отменяют унаследованные. Поэтому явное разрешение доступа отменит унаследованный запрет доступа.
Что подразумевается под явным разрешением?

Хм.
Вообще, унаследованные права - полученные от родительского объекта. Их можно отменить или модифицировать. Но в последнем случае при добавлении правила разрешения запрещающее правило будет приоритетнее, если не будет отменено.
В чем состоит задача?

В чем состоит задача? »
Вопрос в том, какие разрешения будут являться явными, а какие неявными?

hozman, вопрос я понял. Я уточнил задачу. Если занялся теоретическими изысками - "неявные" - унаследованные, "явные" - внесенные вручную.

Вообще, унаследованные права - полученные от родительского объекта. Их можно отменить или модифицировать. Но в последнем случае при добавлении правила разрешения запрещающее правило будет приоритетнее, если не будет отменено. »
Явный приоритет всегда возьмет верх. В том числе разрешающий явный над запрещающим неявным.

Явный приоритет всегда возьмет верх. В том числе разрешающий явный над запрещающим неявным. »
согласен. Запрещающий будет приоритетнее в одной категории - либо среди только неявных либо среди явных. Просто обычно при отказе от наследованности все правила становятся явными, тогда для них будет верным написанное выше.

Пример:
1) запрещаем пользователю создавать объекты на рабочем столе.
2) создаем там же папку администратором, на нее действуют те же ограничения.
3) добавляем правило "ВСЕ - ПОЛНЫЙ ДОСТУП"
Результат: не смотря на то, что неявно пользователю запрещено создавать объекты и в созданной папке в т.ч., пользователь спокойно пишет в указанную папку - явное разрешение приоритетнее.

В случае, когда мы одновременно зададим, к примеру, ПОЛЬЗОВАТЕЛЬ=ЗАПРЕТИТЬ ВСЕ и ВСЕ=ПОЛНЫЙ ДОСТУП, то получим приоритет запрета, как и следует из предупреждающего сообщения GUI (аттачь)

Просто обычно при отказе от наследованности все правила становятся явными »

Создаём неунаследованные явные правила типа:

Пользователь данной учётной записи: Можно всё
Администраторы: Можно всё
Система: Можно всё

и пытаемся зайти из другой учётной записи. Облом. Поскольку при наличии трёх явных разрешений пользователь другой учётной записи попадает под неявное ограничение: о нём в разрешениях ничего не сказано, значит ничего нельзя – т.е. для этого пользователя действует неявный запрет.

При вашем же "Все: можно всё" он имеет доступ потому, что любой пользователь системы, даже Гость, неявно входит в группу "Все". ;)

hozman
И более точная формулировка может быть примерно такой:
– Явный запрет имеет полный приоритет.
– Явное разрешение имеет приоритет перед неявным запретом.

В общем, типичный ООП :)

Что подразумевается под явным разрешением? »
Возможно, правило, написанное специально для данного пользователя.
А "неявное" - написанное для группы безопасности, в которую входит данный пользователь (непосредственно или же через другие группы).

Специалисты (в частности Дэн Холме) рекомендуют вообще исключить использование явных разрешений для конкретных пользователей. Просто потому что изменение должности и полномочий пользователя потребует ручного изменения over9000 правил доступа, в которых он прописан.

Вместо этого предлагается следующая связка: Пользователь -> Группа отдела/должности организации -> Группа доступа файлового сервера -> Каталог с файлами.
При таком подходе достаточно один раз удалить пользователя из группы отдела/должности организации, и он потеряет доступ ко всем каталогам с документами этого подразделения.
Также при добавлении пользователя в другую группу подразделения/должности организации, он автоматически получит доступ ко всем необходимым документам.

P.S.

Поскольку при наличии трёх явных разрешений пользователь другой учётной записи попадает под неявное ограничение »
Использование термина "неявное ограничение" некорректно.
Просто в данном случае вообще отсутствует какое-либо разрешение для этого пользователя, а системы безопасности Windows и NTFS построены по разрешительному принципу (запрещено всё, что не разрешено).