我们使用AD中的安全组来控制对我们文件共享的访问。
\区
ZONE组(仅读取和执行,仅此文件夹)ZONE-写入组(修改,此文件夹,子文件夹和文件)
用户“rick.deckard”位于区域写入安全组中,因此具有对整个\ ZONE文件夹的修改访问权限。
如果rick.deckard创build一个目录
\区\ BR1
“rick.deckard”ACE进入BR1目录的ACL,“完全控制,仅此文件夹”。
如果我们随后从区域写入安全组中删除“rick.deckard”,他根本无法访问ZONE树。 除非他直接映射到\ ZONE \ BR1,然后他仍然完全控制在该目录中!
ACL中的这些基于用户的ACE条目甚至在通过安全组的访问被撤销后仍然保留。
这是正常的行为?
我们如何build立一个授予访问ZONE目录的“仅限安全组”的方法,从而在创build目录时,不安装特定的用户ACE?
任何帮助,将不胜感激。