Здравствуйте, Desert_Sun, Вы писали:

D_S>Здравствуйте, TarasCo, Вы писали:


D_S>>>Вопрос 2: какая логика (и/или) при применении нескольких ACE (в том числе если один разрешающий а другой запрещающий)
TC>>ACE просматриваются последовательно. Допустим в списке для юзера 1 последовательно находится два ACE — первый разрешает запись, второй — запрещает. В этом случае просмотр ACE будет заканчиваться на первом элементе и запись будет всегда разрешена.

D_S>Т.е. исходя из такой логики например если список из ACE будет построен наоборот:
D_S>сначала для SECURITY_WORLD_SID_AUTHORITY — запрет, а потом для
D_S>SECURITY_NT_AUTHORITY — разрешение, то не получит доступ вообще никто?

IMHO, да

D_S>И еще: а почему это не отразится на группах типа power user — они что не относятся к группе everyone? (им тоже нужно запретить доступ)

Может быть так:
ACL:
ACE1: админам разрешить все
ACE2: power user разрешить чтение
ACE3: всем разрешить чтение.
Ваш подход привратит это в:
ACL:
ACE1: админам разрешить все
ACE2: power user разрешить чтение
ACE3: всем запретить доступ
Соответсвенно, power user ы продолжают иметь доступ на чтение