Windows如何解决冲突的FileSystem权限/权限？

在Windows的安全系统中，用户可以属于多个组，一个组可以包含其他组。 在Windows中如何解决相冲突的权限的“规则”是什么？

例如，假设一个用户在A组和B组中.A组在文件上有“拒绝读取”，而“B组”有“允许读取”。 用户可以读取文件吗？

如果用户本身被拒绝阅读某些内容的权限，但是在明确允许该权限的组中，该怎么办？

虽然我知道如何通过访问规则和它们公开的权限获得特定文件系统资源的权限，但由于规则的目标是可能是用户或组的特定的IdentityReference，我已经看到了冲突，并试图确定逻辑找出“谁赢”。

• 如何知道我的web服务在Visual Studio 2005下运行的帐户
• 我如何从C ++服务应用程序访问Windowslogin（authentication）API？
• 调用ImpersonateSelf（）是否取消对同一线程进行的所有安全令牌调整？
• 从PHP访问CryptGenRandom
• 如何在不重新启动的情况下使用SEE_MASK_NOZONECHECKS运行msi

…还是有一种已知的方式来说'给我这个用​​户的所有权利，也考虑到任何成员'，让系统担心呢？ （我很惊讶，我还没有find那个，我正在做的事情似乎是很多工作。）

var Identity = WindowsIdentity.GetCurrent(); var fileInfo = new FileInfo(@"C:\Code\Path\To\Some\File.txt"); // Get all identity references for this user (user's and it's groups) var identityReferences = new HashSet<IdentityReference>(); identityReferences.Add(Identity.User); foreach(var group in Identity.Groups) identityReferences.Add(group); // Get all rules for this user on this specific FileInfo var fileSystemAccessRules = fileInfo.GetAccessControl() .GetAccessRules(true, true, typeof(SecurityIdentifier)) .OfType<FileSystemAccessRule>() .Where(rule => identityReferences.Contains(rule.IdentityReference)); FileSystemRights allowedUserRightsMask = 0; FileSystemRights deniedUserRightsMask = 0; // Get mask of all granted, and all denied rules foreach(var fileSystemAccessRule in fileSystemAccessRules) { var ruleRights = fileSystemAccessRule.FileSystemRights; var relevantUserRightsMask = (fileSystemAccessRule.AccessControlType == AccessControlType.Allow) ? allowedUserRightsMask : deniedUserRightsMask; relevantUserRightsMask |= ruleRights; } // Do something with the final user rights mask here.