我觉得我在这里错过了一些明显的东西。 或者只是做一个noob错误。
我有一个文件夹结构,如下面的例子所示。 文件夹A1和A2位于文件夹A 。 文件夹B1 , B2位于文件夹A1内等。
Folder A | | | |--------Folder A1 | |---------Folder B1 | |---------Folder B2 |--------Folder A2 | |---------Folder C1 | |---------Folder C2
我想在文件夹A上创build一个组权限,以防止用户创build,删除或移动文件或文件夹(即不能移动或删除A1和A2等),但不影响文件夹A1任何内容或A2 。
我在文件夹A组A(我想限制的那个)上创build了以下规则。
规则:
Name: Group A Apply to: this folder and subfolders Deny Create files / write data Deny Create Folders / append data Deny Delete subfolders and files Deny Delete Checkmarked: Apply these permissions to objects and/or containers within this container only.
规则:
Name: Group A Apply to: This folder, subfolders and files Allow everything but Full Control, Delete, change permissions, take ownership NOT checkmarked: Apply these permissions to objects and/or containers within this container only.
我知道很多人反对使用Deny权限,因为它可以轻松地覆盖所有其他人。 等等。但是我觉得自己并不觉得聪明, Deny规则应该被忽视。
现在问题发生在文件夹B1 , B2等内部
在B1 , B2 , C1等内部,我可以删除文件夹/文件并移动其他文件夹内的文件夹。 我不能创build文件夹或文件。 我也不能移动文件夹到文件夹B1 , B2等(即使我可以搬出去)。
当我检查在A1或A2里面的文件夹的权限时,我看不出任何错误。 当我检查从A A1 , A2的权限我看到规则只适用于这个文件夹而不是SUBFOLDERS。
微软文章( TechNet: select应用权限的位置 )说,当我勾选"Apply these permissions to objects and/or containers within this"这些规则只应用于文件夹A子文件夹,而不适用于后续文件夹。
有任何想法吗?
编辑:注:我尝试了多种方法,包括不使用Deny或任何types的隐式规则。
您可能想要中断A处的权限inheritance,并删除默认的用户ACL(或者不是,由您决定)。
在适用于“仅此文件夹”的组A上为文件夹A创build一个ACL,并将其设置为“读取”。
在组A文件夹A上创build另一个ACL,应用于“子文件夹和文件”并将其设置为修改(或任何您想要的)。
这将使得A组中A人员不能直接在A下面更改文件夹结构,但是可以在较低级别上修改任何内容。
至于这个:
当我检查在A1或A2里面的文件夹的权限时,我看不出任何错误。 当我检查从AI的A1,A2的权限看到规则只适用于这个文件夹而不是SUBFOLDERS。
听起来像有人打破了inheritance,并在整个子文件夹结构中传播了不同的ACL。 您应该修复,以便文件夹A下面的所有内容都从文件夹Ainheritance。
另外,将来在你的例子中使用一个与文件夹名称相同的文件夹会使其他人难以遵循:)