Zitat von
Dezipaitor:
Wenn man z.B. READ_FILE_ACCESS nicht vergibt, dann kann der Benutzer auch keine Dateien lesen - es sei denn, er ist in einer Gruppe, die das erlaubt und zwar indem die Gruppe in der
ACL mit diesem Recht erlaubend gelistet ist.
d'accord
Zitat von
Dezipaitor:
Die Vergabe einer Verweigerung schließt auch diese Lücke.
d'accord
Zitat von
Dezipaitor:
Die Normalform einer
ACL ist u.a. so definiert, dass zuerst Verweigerungs- und dann Erlaubeneinträge stehen sollten. Das muss aber nicht unbedingt so sein. Im so einem Fall kann es aber chaotisch werden.
"Kann" ist da recht optimistisch.
Edit:
Ich würde auf jeden Fall davon absehen, einem Benutzer Rechte zu entziehen (verbieten).
Rechte Vergeben ist wesentlich übersichtlicher und einfacher zu pflegen.
Und Gruppen ist der Vorzug vor Einzelpersonen zu geben.
Gruß
K-H