Zděděná oprávnění nebudou automaticky aktualizovány při přesunutí složky

Příznaky

Seznam řízení přístupu (ACL) může zobrazit oprávnění, které jsou označeny jako s bylo zděděno z nadřazeného objektu, ale samotnou nadřazenou nemá tato oprávnění, nakonfigurované v jeho seznamu ACL. Poznámka: k tomuto problému může dojít, přestože je stále povolena dědičnost. Veškeré pozdější změny do nadřazené složky ACL způsobuje dítěte ACL zděděná oprávnění přijímat. Jakýkoli pokus změnit seznam ACL dítěte také způsobí dědičnosti má být použita (Pokud změna značky ACL jako chráněný z dědičnosti). Toto chování může být překvapivé, pokud stát dědičnost kdyby bylo zaznamenáno začnete upravovat seznam řízení Přístupu.


Poznámka: Toto chování nelze způsobeno přesunutím do složky při spuštění počítače systémem Windows Vista založené. Operace přesunutí nyní funguje, protože složka nebo soubor může zdědit ACL cílové složky nebo souboru. Soubor nebo složku, má také oprávnění, které jsou označeny jako s bylo zděděno z nadřazeného objektu. Jedná se o změnu záměrné v systému Windows XP a Windows Vista a Windows Server 2008.

Příčina

Toto chování může být způsobeno přesunutím do složky. Při přesunutí složky nedojde ke změně seznamu řízení Přístupu a zděděná oprávnění nebudou aktualizovány. Poznámka: Tento "tah" v kontextu tohoto článku vždy znamená přesun v rámci stejného svazku.

Při přesunutí souboru nebo složky seznam řízení Přístupu je také přesunuta a žádným způsobem nezmění. I v případě, že je dědičnost povolena pro tuto složku, nebudou automaticky aktualizovány zděděná oprávnění. Seznam ACL budou aktualizovány při příštím změnit oprávnění, a to přinutí nadřazeného objektu oprávnění.

Toto chování může být také způsobena:

  • Nastavení oprávnění pro nadřazenou složku pomocí příkazu CACLS nejsou rozšířena do podsložek. Všimněte si, že parametr /T neznamená rozšíření práv pomocí dědičnosti, ale chcete-li přepsat všechny seznamy ACL.
  • Nastavení oprávnění z nadřazené složky pomocí rozhraní API, které nejsou automaticky rozšířena dědičnost (například Adssecurity.dll). Další informace získáte klepnutím na níže uvedené číslo článku znalostní báze Microsoft Knowledge Base:

    266461 Automatická dědičnost HOWTO:Set soubor nebo složka oprávnění - rozhraní ADSI
  • Obnovení ze zálohy do jiného umístění.

Řešení

Chcete-li zabránit změny neočekávané oprávnění, nastavení ACL soubor či složku do "chráněné" před přesunem, pokud chcete zachovat nastavení. Jinak aktualizujte ručně ACL přesunutého souboru nebo složky pomocí editoru ACL explorer. Zakázat a než znovu povolit dědičnost vynutit ACL, které mají být aktualizovány s právem zděděná oprávnění. Pomocí skriptu VBScript může také použít k automatizaci tohoto procesu.

Další informace o tom, jak to provést, klepněte na následující číslo článku znalostní báze Microsoft Knowledge Base:

279682 POSTUPY: Přidání ACE do složky NTFS pomocí ADsSecurity.dll

Stav

Toto chování je záměrné. K tomuto chování nedochází z důvodu změny návrhu v systému Windows Vista.

Další informace

Kroky pro reprodukci chování

  1. Vytvořte složku "test1" s "everyone: čtení" a "uživatelé: změna" oprávnění.
  2. Vytvořte podsložku "test1\sub" a povolte dědičnosti z nadřazeného objektu (výchozí nastavení). Tato složka by se měla zobrazit "everyone: čtení" a "uživatelé: změna" jako zděděná oprávnění.
  3. Vytvořte jinou složku "test2" pouze "administrators: Úplné řízení" oprávnění.
  4. Podsložka "sub" přesunete do "test2".
  5. Zobrazení oprávnění na "test2\sub" v tématu "everyone: čtení" a "uživatelé: změna" jako zděděná oprávnění, přestože oprávnění rodičů je "administrators: Úplné řízení".
  6. Přidáte jiné skupiny za uživatele (například Host) ACL "sub" například udělit přístup pro čtení pomocí editoru ACL explorer. Po klepnutí na tlačítko použít"everyone: čtení" a "uživatelé: změna" je odebrána a pouze "administrators: Úplné řízení" je zobrazena jako zděděná oprávnění vedle ten, který jste právě přidali.
Vlastnosti

ID článku: 320246 - Poslední kontrola: 9. 1. 2017 - Revize: 1

Váš názor