Grupo de segurança de identidade especial no AD

No diretório de atividades existe uma maneira de criar um grupo de segurança que utiliza uma identidade especial? Eu posso explicar porque eu estou tentando fazer isso, mas digitá-lo está ficando um pouco prolixo.

O que eu gostaria de colocar em conjunto é um grupo que é usuários autenticados, exceto CREATOR OWNER.

Eu quero esse grupo para negar permissões de Usuários Autenticados, a menos que eles tenham a permissão CREATOR OWNER de uma pasta ou arquivo.

Meu problema é, uma vez que o usuário que é PROPRIETÁRIO CRIADOR é também Autenticado Usuário, se eu negar Usuário Autenticado que substitui as permissões Permitir que eu configurei para PROPRIETÁRIO CRIADOR.

Provavelmente não há como fazer algo assim, apenas procurando confirmação.

Isso não é possível. As entradas de negação sempre têm precedência sobre Permitir entradas, a menos que a entrada Negar seja herdada e a Permitir seja explícita.

Mas há uma maneira muito melhor de realizar o que você está procurando. Basta remover a entrada Usuários autenticados da ACL. (Você pode ter que desativar a herança primeiro.) Se um usuário não corresponder a nenhuma regra de ACL, a ação padrão será Negar. Portanto, se você simplesmente atribuir CREATOR OWNERos direitos desejados na pasta pai e impedir que a entrada Usuários autenticados se aplique aos arquivos, somente a pessoa que cria um arquivo terá acesso a ele.

Observe também que CREATOR OWNERnão é realmente uma pessoa; sua entrada em uma pasta é substituída por uma específica do usuário quando esse usuário cria um arquivo nessa pasta. Isso só acontece uma vez; Não é uma coisa dinâmica que sempre faz referência ao proprietário.

Outras leituras: Permissões NTFS, Parte 2