防止所有者更改networking共享的权限
我们有configuration了SMB / CIFS共享的Sun Storage Appliance(7110)。 它被join到我们的Active Directory中。 我试图完成的是:普通域用户(内置AD组)应该有权访问驱动器修改文件和文件夹,但不会更改权限(因为用户可以locking其他人从一个文件夹包括pipe理员)。 AD组“Storage_Admins”中的用户应该完全控制驱动器。 有两个地方可以configuration用户权限:共享级别ACL和根目录ACL。 据我所知,最好的做法是授予每个人对共享级别的完全控制权,并在根目录ACL上执行其他任何操作,但是这种方式不起作用。 我到目前为止所做的:
-
共享级别 :每个人 – 完全控制根目录 :Storage_Admins – 完全控制/域用户 – 修改结果 :域用户可以更改他们创build的文件夹的权限,但不能更改根文件夹的权限
-
共享级别 :所有人 – 修改根目录 :Storage_Admins – 完全控制/域用户 – 修改结果 :域用户不能更改文件夹的权限,但pipe理员也不能更改它们。 域用户不能重命名或删除文件夹。
-
共享级别 :所有人 – 修改/ Storage_Admins – 完全控制根目录 :Storage_Admins – 完全控制/域用户 – 修改结果 :域用户不能更改文件夹权限,但pipe理员也不能更改它们。 域用户不能重命名或删除文件夹。
我已经阅读了Technet上的一些文章,发现这个:
业主有隐含的权利,允许或拒绝其他用户使用该对象的权限,这个权利不能被撤回
我认为这就是问题所在。 如果用户创build一个文件夹,他是所有者,可以更改该文件夹的权限。 那么是否有防止这种行为呢? 在networking驱动器上configuration权限的最佳做法是什么? 把所有权拿走不是一种select,因为没有人可以弄清谁创build了什么文件。 提前致谢。
更新:
- 共享级别 :每个人 – 修改根目录 :Storage_Admins – 完全控制/域用户 – 修改
这工作,如果我共享一个正常的Windows机器上的文件夹。 我用这个设置共享了WinXP机器上的一个文件夹。 域用户现在可以修改除Storage_Admins组完全控制访问的权限和成员以外的所有内容(正是我想要的)。 所以这个问题:
结果 :域用户不能更改文件夹的权限,但pipe理员也不能更改它们。 域用户不能重命名或删除文件夹。
显然与Sun设备有关。 像设备本身的inheritance行为或类似的东西。 我会研究一下。
显然与Sun设备有关。 像设备本身的inheritance行为或类似的东西。 我会研究一下。
不,这是Windows ACL的工作原理。 所有者总是被允许在她的对象上改变ACL。 您可以通过使用仅允许“Everyone:Modify”权限的共享来阻止共享内容,因为这将在共享级别“过滤”任何更改ACL请求。 如果您想允许您的pipe理员更改ACL,只需将“存储pipe理员:完全控制”添加到共享权限即可。
好吧,算出来。 在Windows中,共享级别只有3种select:读取,更改,完全控制。
在设备中,您拥有共享级别的完整权限集和一个下拉框可供select: 
如果您在左上angularselect“修改”,则相应地设置复选标记。 但是,如果select“修改”,则没有设置复选标记“删除子项”,这是问题所在。 如果我select“修改”并在共享级别选中“删除子级”,并在根目录上为域用户设置“修改”,则所有操作均按预期进行。