Сущность понятия явные разрешения
 

Встречаю периодически такой момент, что явные разрешения доступа отменяют унаследованные. Поэтому явное разрешение доступа отменит унаследованный запрет доступа.
Что подразумевается под явным разрешением?

Хм.
Вообще, унаследованные права - полученные от родительского объекта. Их можно отменить или модифицировать. Но в последнем случае при добавлении правила разрешения запрещающее правило будет приоритетнее, если не будет отменено.
В чем состоит задача?

Вопрос в том, какие разрешения будут являться явными, а какие неявными?

hozman, вопрос я понял. Я уточнил задачу. Если занялся теоретическими изысками - "неявные" - унаследованные, "явные" - внесенные вручную.

Явный приоритет всегда возьмет верх. В том числе разрешающий явный над запрещающим неявным.

согласен. Запрещающий будет приоритетнее в одной категории - либо среди только неявных либо среди явных. Просто обычно при отказе от наследованности все правила становятся явными, тогда для них будет верным написанное выше.

Пример:
1) запрещаем пользователю создавать объекты на рабочем столе.
2) создаем там же папку администратором, на нее действуют те же ограничения.
3) добавляем правило "ВСЕ - ПОЛНЫЙ ДОСТУП"
Результат: не смотря на то, что неявно пользователю запрещено создавать объекты и в созданной папке в т.ч., пользователь спокойно пишет в указанную папку - явное разрешение приоритетнее.

В случае, когда мы одновременно зададим, к примеру, ПОЛЬЗОВАТЕЛЬ=ЗАПРЕТИТЬ ВСЕ и ВСЕ=ПОЛНЫЙ ДОСТУП, то получим приоритет запрета, как и следует из предупреждающего сообщения GUI (аттачь)

Создаём неунаследованные явные правила типа:

Пользователь данной учётной записи: Можно всё
Администраторы: Можно всё
Система: Можно всё

и пытаемся зайти из другой учётной записи. Облом. Поскольку при наличии трёх явных разрешений пользователь другой учётной записи попадает под неявное ограничение: о нём в разрешениях ничего не сказано, значит ничего нельзя – т.е. для этого пользователя действует неявный запрет.

При вашем же "Все: можно всё" он имеет доступ потому, что любой пользователь системы, даже Гость, неявно входит в группу "Все". ;)

hozman
И более точная формулировка может быть примерно такой:
– Явный запрет имеет полный приоритет.
– Явное разрешение имеет приоритет перед неявным запретом.

В общем, типичный ООП :)

Возможно, правило, написанное специально для данного пользователя.
А "неявное" - написанное для группы безопасности, в которую входит данный пользователь (непосредственно или же через другие группы).

Специалисты (в частности Дэн Холме) рекомендуют вообще исключить использование явных разрешений для конкретных пользователей. Просто потому что изменение должности и полномочий пользователя потребует ручного изменения over9000 правил доступа, в которых он прописан.

Вместо этого предлагается следующая связка: Пользователь -> Группа отдела/должности организации -> Группа доступа файлового сервера -> Каталог с файлами.
При таком подходе достаточно один раз удалить пользователя из группы отдела/должности организации, и он потеряет доступ ко всем каталогам с документами этого подразделения.
Также при добавлении пользователя в другую группу подразделения/должности организации, он автоматически получит доступ ко всем необходимым документам.

P.S.

Использование термина "неявное ограничение" некорректно.
Просто в данном случае вообще отсутствует какое-либо разрешение для этого пользователя, а системы безопасности Windows и NTFS построены по разрешительному принципу (запрещено всё, что не разрешено).