Normalne to funguje tak:
Kdo je uveden v pristupovych pravech, ma pristup.
Kdo neni uveden v pistupovych pravech nema pristup.
Pokud je nekdo v pristupovych pravech uveden s tim, ze je pristup "odepren", ma to prednost pres pravy pridelenymi a nedostane se tam.

Priklad:
uzivatel je uveden ve skupinach ADMINISTRATORS, USERS
do slozky jsou natavena prava pro zapis pro skupinu ADMINISTRATORS
do slozky jsou odeprena prava pro skupnu USERS (mysleno, ze v zabezpeceni je skupina USERS uvedena s odeprenim prav)
uzivatel se do slozky nedostane

Muis dat pzor i na to, ze tam nejsou jen USERS, ale i Domain USERS apod.