我的公司正在使用Windows Server 2008 R2进行域控制器和文件共享,并且所有客户端计算机都安装了Windows 7 Professional。 一些客户端计算机被添加到域中,用于访问共享资源进行合作,而其他客户端计算机则不会被添加到域中用于其他用途。 而域名电脑则受到防火墙软件的限制。 每个员工都有自己的域用户帐户+密码,当他login域客户端计算机时,他可以通过“映射networking驱动器”或“添加networking位置”访问共享文件(例如\ domain_ip_address \ folder_sharename)用自己的权限在服务器上指定。
至于权限configuration方面,据我所知,共享权限和NTFS权限共同决定了结果权限:限制性较强的权限有效。 所以,就像常见的build议一样,为文件夹提供了每个域用户帐户的共享权限Everyone:完全控制和相应的NTFS权限 。
一切似乎都很顺利。 而我曾经错误地想过,如果一台计算机没有被添加到域中,它绝对不能访问域共享资源。
几天前,在一台非域名计算机上 ,我尝试了“映射networking驱动器”和“添加networking位置”,系统提示我input凭据,并以“domain_name \ domain_user_account”的forms提供了一个域用户帐户。 +“密码”,我成功地访问了共享文件夹,我感到震惊。
我的目标是只允许添加到域的计算机访问域共享资源。 然后,在该文件夹的共享权限设置中,我删除了Everyone:完全控制 ,并添加了域计算机:完全控制 。 但结果是:即使在域计算机上,域用户帐户也无法访问它,甚至是具有完全控制NTFS权限的域用户帐户。
我的问题:
有人能告诉我为什么我得到这个意外的结果(至less对我来说)? 即:为什么共享权限域计算机:完全控制甚至阻止具有完全控制NTFS权限的域用户使用域计算机访问共享资源? 有谁曾经成功地使用共享或NTFS权限的域计算机 ?
我该怎么改善? 我不希望在当前的服务器设置上进行大的手术。
———————更新2015-10-28 ———————– ——————–
让我提供关于我的2台服务器的设置的更多细节。 坦率地说,我不是IT专家,2台服务器是我的朋友build立起来的。 他们都安装了Windows Server 2008 R2。
第一个是server_A,充当域控制器,DHCP服务器,并存储共享文件。
第二个是server_B,作为DNS服务器,并且与威胁pipe理网关2010(TMG2010)一起安装,主要用于控制哪个客户端设备可以访问Internet。
文件共享在用户空间而非计算机空间进行validation。
因此,您input的任何计算机条目都将被忽略,但由于没有用户访问共享,因为您只留下了域计算机,这意味着没有人可以访问共享。 (就像我说的,计算机帐户在文件共享中被忽略)
为什么这样做呢? 每个文件都由用户拥有,而不是电脑。 它的devise。 想象一下你将如何审计谁做了什么? 这将是不可能的(就像在例子SOX404应用)
在每个用户帐户上设置强密码非常重要。
另一方面,你可以限制DHCP,切换一些控制,以确保只有join域可以得到一个IP。 由于你的风险比你所说的要糟糕得多,就好像被感染的计算机刚刚插入了你的局域网,即使没有任何共享,损失也会大大恶化。
因此,最后一个提示,控制什么插入,甚至检查你的DHCP,确保没有stream氓装备连接,如果你需要访问非域join的计算机,然后想为客人的另一个VLAN。