说明:文件权限覆盖文件夹权限，除非已将完全控制权限授予该文件夹

Question

根据文章：http://ntfs.com/ntfs-permissions-precedence.htm

权限的优先级层次可以概括如下，在列表的顶部列出了更高优先级的权限：

• 显式否认
• 显式允许
• 继承否认
• 继承允许

同样正确:文件权限覆盖文件夹权限，除非已将完全控制权限授予该文件夹。

我不理解这一段:文件权限覆盖文件夹权限，除非已将完全控制权限授予该文件夹

我们说的是有文件的文件夹吗？这是否意味着如果文件夹包含允许完全控制权限的文件，则该文件夹中的文件将具有所有权限，即使该文件设置为拒绝写入？

Answer 1

它的意思是(例如)：

用户“DOMAIN”被赋予了对目录C:\fakepath的只读访问权，并且在这个文件夹中存在一个名为"document.docx“的文件。此时，jcitizen可以打开文件读取它的内容，但是不能保存任何更改。

3个月后，jcitizen的经理创建了另一个名为"adobe.pdf“的文件，并将其放在C:\fakepath中。管理人员决定jcitizen能够将更改保存到document.docx上并对其访问权限进行更改，因此他们显式地为jcitizen设置了对C:\fakepath\document.docx的完全控制权限。

由于显式权限覆盖继承的权限，因此当jcitizen试图保存对document.docx的任何更改(例如添加新的文本段和授予对域\jdoe的只读访问)时，它从C:\fakepath继承的只读权限实际上是多余的，并且文件系统会监听显式权限。

现在，6个月后，jcitizen的经理决定给每个人对C:\fakepath的完全控制权限。由于完全控制权限是可以授予用户的最高级别的文件/文件夹权限(因为它也可以获得文件或文件夹的所有权)，因此它取代了在其下面的任何文件或文件夹上设置的任何显式权限。

在企业环境中，永远不要给任何网络用户以完全控制是明智的。唯一应该拥有完全控制权的人员或组是域管理员。当我为我工作的公司重建网络(以及两个运行DFS的文件服务器)时，我甚至没有授予我们董事的日常账户完全控制权限，并且选择给他们一个具有域和企业管理权限的第二个帐户。

我希望这能帮你弄清楚。