Спеціальна група безпеки особи в AD

Чи є в каталозі діяльності спосіб створення групи безпеки, яка використовує спеціальну ідентичність? Я можу пояснити, чому я намагаюся це зробити, але введення цього тексту стає трохи зрозумілим.

Що я хотів би зібрати, - це група, яка є автентифікованими користувачами, окрім ТВОРЧОГО ВЛАСНИКА.

Я хочу, щоб ця група заборонила дозволу Аутентифікованим користувачам, якщо вони не мають дозволу на створення папки чи файлу власника ТВОРЧОГО ВЛАСНИКА.

Моя проблема полягає в тому, що користувач, який є CREATOR ВЛАСНИК, також є автентифікованим користувачем, якщо я заперечую "Автентифікований користувач", який перекриває "Дозволити", які я встановив для власника CREATOR.

Напевно, немає способу зробити щось подібне, а лише шукати підтвердження.

Це неможливо. Заборонені записи завжди мають перевагу над Дозволити записи, якщо тільки запис Заборона не успадковано та Дозволити.

Але є набагато кращий спосіб досягти того, що ви хочете. Просто видаліть запис автентифікованих користувачів з ACL. (Можливо, вам доведеться спочатку вимкнути спадщину.) Якщо користувач не відповідає жодним правилам ACL, дією за замовчуванням є Заборонити. Тому, якщо ви просто призначите CREATOR OWNERбажані права у батьківській папці і зупините вхід Автентифікованих користувачів там, щоб вона не застосовувалась до файлів, доступ до неї матиме лише особа, яка створює файл.

Також зауважте, що CREATOR OWNERнасправді це не людина; його запис у папці замінюється на конкретну для користувача, коли той користувач створює файл у цій папці. Це відбувається лише один раз; це не динамічна річ, яка завжди посилається на власника.

Подальше читання: Дозволи NTFS, частина 2