目前,我正在使用Windows Server 2012 Active Directory的networking上的文件的权限,如下所示:我设置了一个域控制器,在域控制器上创build用户和组。 之后,我select一个文件夹共享,并在共享选项中添加读/写访问权限(我这样做,因为我被告知做不同的事情会产生问题)。
然后在子文件夹,限制访问我去的文件夹属性的安全选项卡,我添加组我想拒绝访问,并拒绝读/写权限。
这很好,但是,我发现这不是一个好方法。 事实上,如果群组不断添加,并且一个文件夹只能被一个群组访问,我总是需要添加新的文件夹并拒绝对它们的访问。
一个可能发生这种情况的现实生活场景如下:一个公司有项目文件夹,每个项目都有一定的员工子集。 因此,他们为每个项目创build一个组,然后在项目的文件夹中只有该特定项目的组才能访问。 如果添加了新项目,则需要在每个项目文件夹中添加新组,这可能很乏味。
那么怎样才能更有效地拒绝对文件和文件夹的访问,而无需在添加新组时添加安全选项呢?
你为什么使用拒绝ACE? 你应该做这样的事情:
Root of the share (Authenticated Users - Read - This Folder Only) | | ----Subfolder1 (Subfolder1 Users - Read/Write - This folder and Subfolders) | | ----Subfolder2 (Subfolder2 Users - Read/Write - This folder and Subfolders) 等等。 你不应该经常使用否定ACE。 在过去的10年中,我曾经使用过NTFS ACL的拒绝服务,可能会想到3次。