如何跟踪NTFS和共享权限以查看为什么可以（或不能）写入文件

我正试图找出为什么我可以在一个文件夹中写东西，根据我的最佳估计，我应该不会写。与“所有人”共享的文件夹具有“完全控制”权限，文件的限制性更强。我最好的猜测是，有某种子组成员身份允许我编写，但是Active Directory中存在的组嵌套非常广泛。

有没有一种工具可以告诉我在文件夹中写入文件所允许或不允许的ACL条目？

“ 有效权限”对话框仅对您有所帮助，但是如果存在这样的情况，我需要的是类似“ NTFS ACL跟踪工具”的东西。

从sysinternals尝试使用AccessChk：

为了确保他们创建了安全的环境，Windows管理员经常需要知道特定用户或组对资源的访问权限，这些访问权限包括文件，目录，注册表项，全局对象和Windows服务。AccessChk通过直观的界面和输出快速回答这些问题。

可以肯定它会工作。

您应该尝试使用AccessEnum。

这将为您提供不同的安全主体，这些主体在文件和文件夹的acl中具有读写和拒绝条目。它也是一个免费工具。

运行报告后，将其打开并查看有问题的文件和文件夹的唯一条目。并从那里查看有效权限。它相当手动进行查找，但是通过进行步法可以获得非常具体的信息。

听起来您希望Windows仅通过检查最窄的组来缩小这些广泛的权限。它不是那样工作的。NTFS权限的确定如下：

1. 默认情况下，从根本没有访问权限开始。
2. 建立所有允许权限的所有组到一个大组的事情可以做。
3. 拿走所有拒绝来自权限的所有组（因此，DENY随时随地将胜过一切）。

因此，如果您授予Everyone组完全控制权，并且仅对其他组具有允许权限，那么您在Everyone组中的实际成员身份将为您提供完全访问权限。

如果要在smb共享上设置ACL，则必须在文件系统和“共享”菜单中设置权限。它可能仅在共享权限中设置为所有人。