如果我在用户拥有完全权限的文件夹中以非pipe理员用户的身份创build文件(TestFile.txt),则拒绝从服务器以pipe理员身份访问该文件的所有权限,则用户不能再修改,复制和重命名等等,但由于某种原因仍然被允许删除文件….
以下是icacls命令的输出:
TestFile.txt STATE\CV0228U:(N) STATE\CV0228U:(I)(M,WDAC,DC) STATE\CV0228U:(I)(F) NT AUTHORITY\SYSTEM:(I)(F) BUILTIN\Administrators:(I)(F) STATE\DOA MPERA Staff:(I)(S,RD,X,RA) 我认为“拒绝”优先于隐含或inheritance的所有其他权利? 谢谢
原因是这样的:
STATE\CV0228U:(I)(M,WDAC,DC)
这是从父目录inheritance,“DC”表示它授予“删除子”的权利。 这允许权利人删除该目录中的文件和文件夹。 在这种情况下,文件本身的显式拒绝是由父权限决定的。
为了做你似乎想要做的事情,避免将“删除子”权限分配给目录,而只是分配“删除”。
拒绝权限并不总是胜过其他权限。 我的build议是查看该用户的文件的有效权限。
http://technet.microsoft.com/en-us/library/cc736316(WS.10).aspx