Здравствуйте, Desert_Sun, Вы писали:

D_S>Здравствуйте, TarasCo, Вы писали:

TC>>Ваш подход привратит это в:
TC>>ACL:
TC>>ACE1: админам разрешить все
TC>>ACE2: power user разрешить чтение
TC>>ACE3: всем запретить доступ
TC>>Соответсвенно, power user ы продолжают иметь доступ на чтение

D_S>а что SECURITY_LOCAL_SYSTEM_RID содержит и админов и power пользователей?

Конечно, нет. Но меняя права для system и для everyone Вы не затроните ACE для administrator например и он останется в списке ACL (если он там есть ) без изменений и будет продолжать разрешать доступ.

D_S>Мне нужно, еще раз, только системе дать доступ,
D_S>а ВСЕМ остальным запретить (в том числе и админам).

Еще раз пишу:
Нужно создать новый список доступа ACL и поместить туда один разрешающий ACE для системы. После этого, все кроме системных пользователей обламаются гарантированно.