NTFS ACL: в чем разница между наследованием объекта и контейнера?

Я смотрю на использование icacls.exe . Однако, прежде чем продолжить, я хотел уточнить разницу между этими двумя ACL:

            (OI) - object inherit
            (CI) - container inherit

Эти флаги управляют наследованием ACL. Есть и другие флаги - IO и NP. Вы можете увидеть больше о них в статье, на которую я ссылаюсь ниже.

Короче говоря, записи контроля доступа (ACE), помеченные только как «Наследование объектов», применяют этот ACE к файлам в папке, но не к подпапкам в этой папке. ACE, помеченные только как «Inheritance контейнера», применяют этот ACE к подпапкам папки, но не к файлам.

Также возможны еще несколько перестановок. Вы можете увидеть более подробные, понятные человеку описания здесь:

• https://web.archive.org/web/20111202234528/http://support.microsoft.com/kb/220167

• https://msdn.microsoft.com/en-us/library/ms229747(v=vs.100).aspx