[ShaddyR]

Хм.
Вообще, унаследованные права - полученные от родительского объекта. Их можно отменить или модифицировать. Но в последнем случае при добавлении правила разрешения запрещающее правило будет приоритетнее, если не будет отменено.
В чем состоит задача?

[hozman]

Цитата ShaddyR:

В чем состоит задача? »

Вопрос в том, какие разрешения будут являться явными, а какие неявными?

[ShaddyR]

hozman, вопрос я понял. Я уточнил задачу. Если занялся теоретическими изысками - "неявные" - унаследованные, "явные" - внесенные вручную.

[ko4evneg]

Цитата ShaddyR:

Вообще, унаследованные права - полученные от родительского объекта. Их можно отменить или модифицировать. Но в последнем случае при добавлении правила разрешения запрещающее правило будет приоритетнее, если не будет отменено. »

Явный приоритет всегда возьмет верх. В том числе разрешающий явный над запрещающим неявным.

[ShaddyR]

Цитата ko4evneg:

Явный приоритет всегда возьмет верх. В том числе разрешающий явный над запрещающим неявным. »

согласен. Запрещающий будет приоритетнее в одной категории - либо среди только неявных либо среди явных. Просто обычно при отказе от наследованности все правила становятся явными, тогда для них будет верным написанное выше.

Пример:
1) запрещаем пользователю создавать объекты на рабочем столе.
2) создаем там же папку администратором, на нее действуют те же ограничения.
3) добавляем правило "ВСЕ - ПОЛНЫЙ ДОСТУП"
Результат: не смотря на то, что неявно пользователю запрещено создавать объекты и в созданной папке в т.ч., пользователь спокойно пишет в указанную папку - явное разрешение приоритетнее.

В случае, когда мы одновременно зададим, к примеру, ПОЛЬЗОВАТЕЛЬ=ЗАПРЕТИТЬ ВСЕ и ВСЕ=ПОЛНЫЙ ДОСТУП, то получим приоритет запрета, как и следует из предупреждающего сообщения GUI (аттачь)

[mwz]

Цитата ShaddyR:

Просто обычно при отказе от наследованности все правила становятся явными »

Создаём неунаследованные явные правила типа:

Пользователь данной учётной записи: Можно всё
Администраторы: Можно всё
Система: Можно всё

и пытаемся зайти из другой учётной записи. Облом. Поскольку при наличии трёх явных разрешений пользователь другой учётной записи попадает под неявное ограничение: о нём в разрешениях ничего не сказано, значит ничего нельзя – т.е. для этого пользователя действует неявный запрет.

При вашем же "Все: можно всё" он имеет доступ потому, что любой пользователь системы, даже Гость, неявно входит в группу "Все".

hozman
И более точная формулировка может быть примерно такой:
– Явный запрет имеет полный приоритет.
– Явное разрешение имеет приоритет перед неявным запретом.

[hozman]

В общем, типичный ООП

[El Scorpio]

Цитата hozman:

Что подразумевается под явным разрешением? »

Возможно, правило, написанное специально для данного пользователя.
А "неявное" - написанное для группы безопасности, в которую входит данный пользователь (непосредственно или же через другие группы).

Специалисты (в частности Дэн Холме) рекомендуют вообще исключить использование явных разрешений для конкретных пользователей. Просто потому что изменение должности и полномочий пользователя потребует ручного изменения over9000 правил доступа, в которых он прописан.

Вместо этого предлагается следующая связка: Пользователь -> Группа отдела/должности организации -> Группа доступа файлового сервера -> Каталог с файлами.
При таком подходе достаточно один раз удалить пользователя из группы отдела/должности организации, и он потеряет доступ ко всем каталогам с документами этого подразделения.
Также при добавлении пользователя в другую группу подразделения/должности организации, он автоматически получит доступ ко всем необходимым документам.

P.S.

Цитата mwz:

Поскольку при наличии трёх явных разрешений пользователь другой учётной записи попадает под неявное ограничение »

Использование термина "неявное ограничение" некорректно.
Просто в данном случае вообще отсутствует какое-либо разрешение для этого пользователя, а системы безопасности Windows и NTFS построены по разрешительному принципу (запрещено всё, что не разрешено).