服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 拥有文件夹的域用户应该能够创build子文件夹(Windows Server 2008 R2)
Intereting Posts
有没有RDP活动日志? – Windows Server 2008 R2 使用应用程序池凭据的Kerberos LAN上意外的HTTP会话劫持 重写规则失去了查询参数 推荐用于编程发送大量电子邮件的电子邮件设置 重新启动一个可以上网的服务器是否安全? DHCP服务器没有收到客户端发送的DHCPREQUEST报文 SQL:没有login名的名字 HAProxyconfiguration文件和reqirep AWS Glacier与Vault Lock进行备份,但在极端情况下仍然可以移除 Reprepro:将进程关联到组件 有关SQL Server 2008 R2安装的问题 – “服务器configuration”阶段 如何知道哪个块设备映射到哪个物理驱动器 在执行之前将SQL Server查询replace为另一个查询 自动退出.NET应用程序“发生未处理的exception”

拥有文件夹的域用户应该能够创build子文件夹(Windows Server 2008 R2)

在部署我们的服务器应用程序时,在Windows Sever 2008 R2上,我们使用本地pipe理员用户在“C:\ Program Files”中创build一个文件夹,并将该文件夹的所有者更改为特定域用户的文件夹。

当该应用程序在该域用户下运行时,它在尝试创build子文件夹时被拒绝访问。

我的假设是:

  1. 就ACL而言,域用户或本地用户是文件夹的所有者之间几乎没有区别。
  2. 作为文件夹的所有者,他们具有“创build者所有者”权限。
  3. 通过成为“创build者所有者”,他们拥有必要的权限来读取/写入文件夹的权限,而不需要任何额外的ACL更改。
  4. 没有父文件夹,即“程序文件”施加任何限制。 毕竟,用户是所有者和“创作者所有者”。

由于域用户无法创build子文件夹,请问我可以告诉我什么是错误的假设?

“创作者所有者”是否具有修改该文件夹的权限? 如果你看一下该用户的有效权限是否修改权限?

更改文件夹所有者并不意味着您的所有假设都是正确的。 看这里:

http://networkadminkb.com/KB/a80/creator-owner-explained.aspx

通过devise,对象的所有者只能configuration如何设置权限以及授予权限。 默认情况下,所有者通常会被自动授予通过其他组的读取,写入或修改权限, 但这并不一定如此

和:

2)如果对象的所有者发生更改,则对象的权限不会更改为新的所有者。

基本上,您的应用程序最有可能需要授予用户额外的权利,该文件夹,他们不只是一个所有者。

  1. 如果User1和User2都对文件夹有完全控制权限,则禁止任何其他ACL或GPOconfiguration,则认为它们具有相同的有效访问权限是正确的。 但是,域用户和/或应用程序可能会传递与已configuration的文件夹权限不同的凭据。 您可以访问http://live.sysinternals.com并下载AccessEnum和ADInsight来解决本地和域用户对象的有效访问问题。 我将首先在本地运行ADInsight,以查看应用程序因黑盒子出于某种原因而通过的凭据。

  2. 本地环境中的CREATOR OWNER通常默认为TrustedInstaller或本地组。 Bob可能已经在他的本地机器上创build了Accounting文件夹,但是Bob只能创build该文件夹,因为他是本地pipe理员。 因此,所有者是%主机名%\ Administrators组。 试图从域用户帐户远程调用该文件夹,您需要指定“\ remotecomptuer \ bob'slocalusername”凭据。

  3. 创build者所有者仅半静态地向所有者分配权限。 当指定一个分配时,该分配不会更改为新的所有者。 有关更多信息,这可能有所帮助: http : //networkadminkb.com/KB/a80/creator-owner-explained.aspx

  4. 右键单击文件夹,属性 – >安全性 – >高级 – >取消选中“从此对象的父项包含可inheritance权限” – >否/删除 – >应用/确定等