Коллеги, вы уже совсем позабывали правила вычисления прав на новелловских файловых системах?
1)
skoltogyan всё описал верно, с поправкой на то, что сначала нужно явно назначить новые права, а только потом - фильтровать старые.
2) от админов не прикроетесь, поскольку право
[S]upervisor на файловой системе не фильтруется (не путать с правом
[S]upervisor в дереве eDirectory - там его можно отфильтровать, сделав "локального админа на конкретную ветку дерева"). Но в исходном примере явно оговаривалось, что у Сидорова нет права Супервизора на верхнюю папку.
3) нужно иметь в виду (самая распространённая ошибка!), что маска прав - это свойство самой директории, а не свойство назначения прав для конкретного пользователя. Другими словами: она отфильтрует
все права, назначенные выше, а не только одного лишь Сидорова выборочно. Т.е. она может отфильтровать и права, назначенные админам (кроме тех, у кого есть нефильтруемое право S), и права, назначенные бэкапному пользователю и т.д. Поэтому использовать маски надо с осторожностью.
4) альтернативный вариант: если в исходном примере Сидоров имеет права к указанным папкам
только потому что они были назначены ему лично на уровне верхнего каталога ABCD (а не входит, например, в группы, которым розданы аналогичные права туда же), то можно на на уровне нижестоящего каталога C1 эти права переопределить: ещё раз назначить их тому же Сидорову, но снять в этом назначении все "галочки". Тогда, начиная с этого каталога, его эффективные права будут такими, которые назначены тут (т.е. никакими: зайти в этот каталог и увидеть его содержимое он не сможет). Остальные пользователи, которым были даны права на ABCD, будут продолжать видеть C1.