我们最近得到了一个新的系统交付给我们。 这是一个标准的Server 2008和Windows 7服务器 – 客户端解决scheme,加强了安全性。 其中一项新的安全政策引起了我们pipe理员的一阵骚动。
书面政策规定,当共享资源(文件或其他)时,我们现在必须在NTFS和共享上设置安全性。 就我所知(和我的同事们)而言,最佳做法是,您将共享资源给具有完全访问权限的所有人,然后在资源本身上设置安全性。 这是我们从新台币四天以来所做的。
我们觉得这个新政策是由一些不太了解Windows权限的人写的。 有些认为分享给每个人都是一个重大的安全漏洞,尽pipeNTFS应该足够了。 我们无法得到直接的答案,所以我在这里问。 我们假设在NTFS级别设置的权限是完全足够的,我们是错误的吗?
我们的政策说,为NTFS设置的权限也必须在共享上设置
他们很困惑。 NTFS提供了一组扩展的权限,这对于SMB共享是不存在的,所以不可能像NTFS权限一样设置相同的共享权限。 例如。 “列出文件夹内容”。
http://technet.microsoft.com/en-us/library/cc753731.aspx (pipe理共享文件夹的权限)
默认情况下Everyone组不包括匿名组,因此应用于Everyone组的权限不会影响匿名组。
最近,我不得不在Windowsnetworking中创build用户份额,基本上与您在文件系统安全性定义的共享方面的想法基本相同,只要用户可以阅读。
如果您想要特定的用户共享权限,则需要为每个用户共享一个共享权限,共享权限仅适用于您将其应用于的文件夹或驱动器。 如果你想给共享对象的部分权利,那么应该是这样的:
\ share {folder1}(可由她访问)\ share {folder2}(可由他访问)但这只是简单的文件系统安全性,所以我认为你是对的