如何给用户写一个文件权限，而他所在的组拒绝写入（在Active Directory中）？

例如，我有一个组织部门A. 在其他用户中，我有一个名为Boss的用户。 我想创build一个只能由Boss更改的文件，并且只能读取来自该组的其他用户的文件。

我知道，拒绝在组级别覆盖允许在用户级别，所以我不能做什么，我只需要共享/ NTFS的权限。

这里我看到两个解决scheme：

1. 创build一个子组，例如没有老板的部门A ，拒绝该子组写入，并授予部门A写权限。 这会工作吗？
2. 荷马辛普森的做法。 为组中的每个用户单独设置权限。

有没有优雅的解决scheme？

• Windows Server Essentials 2012和RDP：如何禁用除用户configuration文件之外的所有对磁盘和USB设备的读/写访问？
• 在ubuntu中为/ proc / sys / vm分配写入权限
• 我应该将权限设置为777设置和configuration文件？
• 如何检测Linux上文件所有权的变化？
• Apache和本地用户的用户权限

PS：操作系统是Windows 2003 Server