NTFSアクセス権設定でグループと個人が重複した場合、許可ならand条件、累積の法則が適用されるそうです。
あんまり考えたことがなかったのですが、ふと気になって調べてみたらマイクロソフトのtechnetに情報がありました。
質問の抜粋です。
任意の共有フォルダのアクセス権で、自分のアクセス権として「変更」がついていて、自分が所属するグループのアクセス権として「読み込み」がついていた時、どういう基準でどちらが選択されるのか、その仕様がわかりません。
実際には変更権限がついていましたが、これはグループより個人が優先されるからなのか、ゆるいアクセス権が優先されるからなのか?その決定はexplorer実装仕様なのか?また、拒否がついていた場合などなど
仕様がどうなっているのかと、その仕様がどこに書かれているのかを知りたいです。
続いて、回答の抜粋です。
グループに「読み取り」、個人に「変更」が付いていた場合、
「変更」=「読み取り」+「書き込み/変更」ですので、
そのユーザーは「読み取り」+「読み取り」+「書き込み/変更」の権限が与えられます。重複する権限は無視される(と言うか意味が無い)ので、
結果としては「読み取り」+「書き込み/変更」となります。逆にグループが「変更」で、個人が「読み取り」でも結果は同じです。
アクセス拒否の設定はちょっと複雑で、
グループに「読み取り:許可」、個人に「フル:拒否」が付いていた場合は、
「読み取り:許可」+「読み取り:禁止」+「書き込み/変更:禁止」となります。
この時は、許可+拒否=拒否のルールがあるので、アクセスが拒否されます。グループに「フル:拒否」、個人に「読み取り:許可」の場合でも
同じ考えでアクセスが拒否されます。
すごくわかりやすいです。
ちなみに拒否は許可より優先されます。
「引用元」
グループと個人のアクセス権設定で、重複するとき、どちらが選択されるか?
https://social.technet.microsoft.com/Forums/ja-JP/66d7ae47-71aa-4ba4-b4ae-
aca04b1f76ce/12464125231254012503123922049120154123981245012463124751247327?forum=activedirectoryja
 |
