我在文件服务器上有一个非常奇怪的NTFS权限现象,我找不到我的错误,现在把我的头发拉出几个小时。 我错过了什么?
我的目标是:
这是我做的:
问题是,我的用户可以编辑和删除文件,如他们有完全访问权限。 即使“有效权限”显示无权编辑,仍然可以。
脚本工作正常,看起来像这样:
icacls d:\folder\Bild1.jpg /inheritance:d icacls d:\folder\Bild1.jpg /remove:g Group-A"
脚本运行后,file.jpg上的NTFS权限如下所示(对我来说看起来是正确的):
那么icacls输出:
d:\folder>icacls Bild1.jpg Bild1.jpg WM\DomainAdmin:(F) WM\Domänen-Admins:(F) WM\Group-A:(RX)
该文件的有效权限选项卡显示完全相同(正确)的事情:
父文件夹的权限,用户应该可以在这里添加文件,如下所示:
Artweger WM\Group-A:(I)(OI)(CI)(F) WM\Domänen-Admins:(I)(OI)(CI)(F)
如果这个用户login(他只是两个组,Domain-Users和Group-A),他可以编辑,删除,重命名和移动文件bild1.jpg。 这怎么可能? NTFS对我的光荣计划有什么作用?
我在两个月前遇到过类似的问题, 这个线程可能对你有帮助。
我会首先检查这是否发生在所有文件或只有用户拥有的文件(改变所有者,看它是否仍然存在),如丹尼尔所build议的。
然后,我会尝试按照其他线程中所述设置权限,但是使用Windows中的详细首选项窗格(右下angular的“ 高级button”)和“共享”选项卡(我不确定这是如何完成的在Windows Server中,在Solaris中是这样做的)。 基本的想法是(引用第二个链接的线程):
所有者总是被允许在她的对象上改变ACL。 您可以通过使用仅允许“Everyone:Modify”权限的共享来阻止共享内容,因为这将在共享级别“过滤”任何更改ACL请求。 如果您想允许您的pipe理员更改ACL,只需将“存储pipe理员:完全控制”添加到共享权限即可。