考虑以下股权:
Security \\dev\profiles\ rw – Administrators Security \\dev\profiles\bambus02 inherited AND rw – bambus02 Sharing \\dev\profiles rw – Everyone 作为“bambus02”,我对\\dev\profiles访问被拒绝,但是访问\\dev\profiles\bambus02是完全允许的 – 这真的是个希望的行为,但问题是:
为什么我被允许访问共享的子文件夹 ,当path上的较高文件夹 (configuration文件)的访问被拒绝 ?
是不是ACL如何检查工作,检查从上到下的所有path段,并在任何不允许的时候停止?
您将需要查看共享文件夹上的高级安全设置(详细的NTFS权限)。 您很可能会发现您的用户帐户具有“Traverse文件夹/执行文件”权限。
即使你没有这个权限,默认设置是完全绕过这个限制。
对于文件夹:遍历文件夹权限仅适用于文件夹。 此权限允许或拒绝用户通过文件夹移动到其他文件或文件夹,即使用户没有对遍历文件夹的权限。 只有当组或用户未被授予“跳过遍历检查”用户权限时,“遍历文件夹”才会生效。 跳过遍历检查用户权限检查组策略pipe理单元中的用户权限。 默认情况下,Everyone组被给予绕过遍历检查用户权限。
来源: 知识库文章308419