Erste Vorraussetzung für Dein Vorhaben, ist, daß Du überhaupt das Recht hast, die Rechte zu lesen.
Je nachdem, wer sich um die NTFS-Rechtevergabe kümmert, können so interessante Konstellationen auftreten wie: DateiX darf von Benutzer Y gelesen,geschrieben,gelöscht werden und von Benutzer Z nicht. Benutzer Y hat aber keine Rechte auf Verzeichnis U in dem sich Datei X ja befindet. Wenn jetzt nur der Benutzer A den Vollzugriff auf Verzeichnis U und die Datei X hatte, dieser aber das Unternehmen vor 2 Monaten verlassen hat, und die DataAdmin Gruppe dummer Weise nicht zugelassen wurde, dann hat man sich eine echte Leiche gebastelt.

Aber Spaß beiseite, wenn ich mich richtig erinnere könntest Du bei Lucky fündig werden, ich glaube das Stichwort hieß DumpACL.

Das kommt sehr auf die Benutzer an. Solange die Datei neu erstellt wird oder kopiert wird, funktioniert das. Aber sobald ein "MOVE" genutzt wird, dann wandern die orignären Rechte auch mit, und wenn dann der "Besitzer" verschollen ist...
Ich habe übrigens schon Dateien gesehen, die ererbte Rechte besaßen, wo der Vererber diese Rechte nicht (mehr) hatte.
(irgendwo ergibt sich natürlich immer ein Adminhintertürchen)
Gruß
K-H

Genau deswegen geht hier ja auch Probieren über Studieren. Also echt entweder das Objekt per AccessCheck (oder im KM SeAccessCheck) auf Zugriffsmöglichkeiten testen oder öffnen und ggf. einen Fehler melden.

Das ist bei den Standardinstallationen Unsinn, siehe SeChangeNotifyPrivilege.

NB: man unterscheide keine Rechte und Zugriff verweigern!

Nicht wirklich. Es gibt ja noch Backup-Privilegien.

Aber ohnehin ist es am besten sowas nicht selber nachzuprogrammieren sondern sich auf das vom System vorgegebene zu verlassen. Da kann man zumindest erstmal annehmen, daß es konsistentes Verhalten produziert (auch wenn das in Wirklichkeit nicht immer der Fall sein mag).

Vorsicht, beim Verschienben ist das so eine Sache mit dem Rechten: http://www.michael-puff.de/Artikel/Z...schieben.shtml

Und hier mein Artikel zum Thema mit dem genannten Demo: http://www.michael-puff.de/Artikel/DACL.shtml

Du meinst, z.B. eine Datei besitzt einen DACL Eintrag, der im SecurityEditor als vererbt angezeigt wird, jedoch der garnicht im übergeordneten Ordner existiert?

Genau so etwas!
und es funktioniert trotzdem

Gruß
K-H

Ja, da ist das inherited Flag gesetzt. Das kann man machen, aber Windows ermittelt den falschen Vorgänger. Zudem kann es passieren, dass der Editor die ACEs auseinandernimmt und mehrfach darstellt.