La stabilirea drepturilor de acces pentru fișiere și directoare, cum ar fi fișiere-bile, în cazul în care fiecare utilizator are un dosar, pe care doriți să limiteze drepturile proprietarilor acestor dosare, astfel încât acestea, de exemplu, ar putea să nu eliminați dintr-o dată dosarul.
Pentru a face acest lucru, puteți specifica un ACL în dosarul părinte care interzice operația de ștergere. Creați-o pentru Toată lumea, dezactivați operația Ștergere și aplicați această regulă numai pentru folderele utilizatorilor, adică nu o vom răspândi la niveluri inferioare ale ierarhiei.
Cu toate acestea, dacă aveți o regulă privind dosarul părinte, de exemplu, pentru toți utilizatorii domeniului (utilizatori sau utilizatori de domeniu) care le permit accesul deplin la accesul deplin (care nu este recomandat în principiu), utilizatorii vor păstra posibilitatea de a șterge foldere interzicerea regulii.
De ce se întâmplă acest lucru? Se pare că regula Deny are avantajul în raport cu regulile Permite, dacă ambele tipuri de reguli sunt aplicate prin moștenire (acest lucru este valabil și în cazul în care ambele reguli sunt specificate explicit în DACL).
În acest caz, utilizatorii vor avea dreptul de a șterge folderul deoarece au dreptul de a șterge subfolderele și fișierele pe care le au în conformitate cu DACL al dosarului părinte.
Dacă eliminăm drepturile complete de control (care includ, în mod implicit, ștergerea subfolderelor și fișierelor) și lăsăm numai schimbarea, atunci utilizatorii își vor pierde dreptul de a șterge folderul așa cum ne-am propus.
Să luăm în considerare un caz special.
Dacă în lista de control al accesului din dosarul părinte se specifică Controlul complet pentru creatorul de dosare, CREATOR OWNER pentru fișierele și folderele copil, utilizatorul care a creat dosarul va primi în mod automat drepturi complete pentru acest dosar.
Cu toate acestea, acest lucru nu este în întregime adevărat.
Acesta nu va putea șterge dosarul oricum, deoarece are încă o regulă care interzice ștergerea, moștenită din dosarul părinte.
Dar, la urma urmei, are drepturi complete asupra dosarului, inclusiv dreptul de a șterge subfoldere și fișiere.
Deci, chestiunea este că acest drept îi permite să șterge folderele și fișierele incluse în folderul creat de el, copilul. Nu poate șterge singur dosarul copil, deoarece nu are dreptul să șterge subfolderele și fișierele pentru dosarul părinte.
În consecință, se va refuza dreptul de redenumire a dosarului, deoarece procesul de redenumire constă de fapt în înlăturarea obiectului sistemului de fișiere și crearea acestuia cu un nume nou.
Cu toate acestea, toate aceste funcții vor fi disponibile administratorilor, desigur, dacă în DACL al dosarului părinte le-ați dat grupului de administratori drepturi complete. În acest caz, aceștia vor folosi același drept Ștergere subfoldere și fișiere definite pentru dosarul părinte.
Mai există încă un detaliu.
Drepturile de control complete definite pentru creatorul de dosare sunt de fapt moștenite din dosarul părinte, precum și regula care interzice operațiunea de ștergere.
În acest caz, puteți presupune că ambele reguli sunt definite la același nivel - atât regula Allow and rule Deny sunt moștenite din folderele părinte. În acest caz, regula Deny are prioritate față de regula Permite.
Cu toate acestea, în cazul în care un utilizator creează un dosar pentru a adăuga la evidență clară DACL, permițându-i să elimine operația - și el va fi capabil să facă acest lucru, deoarece are dreptul de control complet nu este folderul - acesta va avea posibilitatea să-l redenumiți sau să îl ștergeți.
Acest lucru se datorează faptului că înregistrările specificate au prioritate față de cele moștenite din foldere mai mari.
Adică, se dovedește că regula permisivă explicit specificată înlocuiește regula moștenită Deny.
Dacă specificăm o regulă explicit Deny pentru acest director, atunci acesta va avea prioritate față de cele două reguli moștenite (Allow or Deny) și cu privire la regulile explicite Allow.