Atravessando Pastas mesmo sem Permissão (pt-BR)

Um dos itens mais utilizados por administradores/analistas de redes Microsoft, é configurar as permissões de usuários e grupos em servidores de arquivos. Dependendo do tamanho da empresa e sua complexidade, a configuração pode demorar semanas e até meses para ser concluída. Isso sem contar a manutenção (retrabalho), se a implementação não tiver sido planejada corretamente.

Dentre as permissões especiais (de segurança), uma muito curiosa e pouco conhecida, é a Traverse Folder/Execute File (Desviar Pasta/Executar Arquivo), permissão essa que iremos abordar o seu funcionamento.

A permissão especial funciona de dois modos:

Para pastas: Permite ou impede que o usuário se mova dentro de uma pasta (ou pastas) para alcançar outros arquivos ou pastas, mesmo se o usuário não tiver permissões na pasta desviada ou transpassada. Uma observação a ser feita é que ela só funciona quando o usuário, ou grupo, não recebe o direito de usuário ignorar a verificação completa (Bypass traverse checking). Este direito verifica os direitos de usuário no snap-in Diretiva de grupo do domínio ou local. Por padrão, os grupos abaixo recebem o direito do usuário ignorar a verificação completa:

Padrão em estações e servidores: 
Administrators 
Backup Operators 
Users 
Everyone 
Local Service 
Network Service

Padrão em controladores de domínio: 
Administrators 
Authenticated Users 
Everyone 
Local Service 
Network Service 
Pre-Windows 2000 Compatible Access

Para arquivos: A permissão "Executar arquivo" permite ou nega o acesso aos arquivos de programa em execução.

Nota: Se você configurar a permissão "Desviar pasta" em uma pasta, a permissão Executar arquivo não é configurada automaticamente em todos os arquivos nessa pasta.