首先道歉,如果我的一些术语closures,我很新的Windowsnetworking和Active Directory。
我们正在运行Windows Server 2008R2文件服务器,而且我的任务是重构我们的networking共享中的一个。 默认情况下,所有经过身份validation的用户都可以访问该共享,只有几个文件夹(例如\\share\manager_1 , \\share\manager_2 )仅限于某些人( manager_1和manager_2 )。 我也希望这些文件夹对于没有访问权限的用户不可见 – 基于访问的枚举为此创造了奇迹。 到现在为止还挺好。
现在,当pipe理员希望在自己的文件夹( \\share\manager_1\sub_folder_1 )中创build一个子文件夹并与另一个用户共享此文件夹时,就会出现问题。 我们给了pipe理员在pipe理员自己的文件夹内对文件夹设置自己权限的能力,所以manager_1可以授予user_1对\\share\manager_1\sub_folder_1访问权限,但在这种情况下:
user_1无法将共享目录树导航到\\share\manager_1\sub_folder_1因为在\\share\manager_1上不会自动为他们授予“列表文件夹”权限 – 因此Access Based Enumeration将隐藏manager_1文件夹。
即使使用“遍历文件夹”权限,user_1也不能直接进入\\share\manager_1\sub_folder_1 UNCpath,但ABE优先于“遍历文件夹”。
真的, 我想要一种方式来获得ABE的工作,但'反向许可'的'列表文件夹'权限的传播 – 这样在上面的情况下, user_1将能够钻取目录树sub_folder_1但无法看到任何manager_1文件夹的内容(明显是sub_folder_1本身)。
花了好几个小时试图弄清楚如何做到这一点,我的理解是,在Novell的Active Directory中有一个名为“dynamicinheritance”的特性,就是这样做的。 有没有什么办法可以在基于Windows的环境中实现这一点?
任何帮助非常感谢。
我最近还在你的鞋子里。
你不仅需要列表文件夹的权限。
你会需要
Travese Folder List Folder Read attributes Read extended attributes Read permissions
看这里。
不幸的是,没有与Novell提供的function相当的Windows。
另外,出于某些原因,让用户pipe理权限并不是一个好主意。
首先这将是审计的噩梦。 你和你的经理都不会跟踪和知道谁可以访问哪个目录。
其次,在一天结束的时候,您的IT /服务台将不得不支持pipe理员对一些borked ACL / ACE进行故障排除。
在我们的组织中,我们通过PowerShell脚本为每个文件夹创build3个许可组,并将它们添加到文件夹ACL中。 然后,我们将需要访问这些资源的用户添加到相应的AD组中以授予访问权限。
也许下面的链接(我的话题在同一主题)给你一些启发。
文件服务器和ABE