我们正在从Novell Netware迁移到Windows 2K8 R2基础架构(AD,文件服务器,打印服务器等)
我的问题是关于ACL。 虽然Netware和Windows是完全不同的,但是我想确定我的东西是好的,然后把所有东西搞砸了!
有一个场景:
F: | +-- DATA <= Shared as DATA with Access based enumeration | +-- Folder 1 +-- Team 1's Folder +-- Team 2's Folder ... 在这种情况下,默认情况下,权限从F:到最深的文件夹。
我们想要什么:
据我所知,在数据我删除所有NTFS ACL遗产(如用户组),一定要保持pipe理员组和SYSTEM用户。
之后,将每个文件夹的完全控制(或任何所需的权限)授予必须具有访问权限的组或用户。
我错了吗? 任何我应该照顾的?
任何帮助我的理解将非常感激。
问候。
正确。
我倾向于不授予用户Full Control ,尽pipe因为我的权限太多了。 所以我授予他们所有的权限,除了取得Take Ownership和Change Permissions权限。
我可能会build议为每个你授予访问权限的文件夹设置两个组:一个是只读访问权限,另一个是修改访问权限,因为在我的经验中,这个数字往往会出现很多,不小心删除了所有的文件,我不太需要从备份中恢复。
我肯定会做的一件事是启用ABE适用的文件夹深度的限制。 没有这个限制,可能会出现严重的性能问题。 实际的适当限制只能由您自己决定,深度为3的示例如下。 这需要一个srv2.sys文件版本6.1.7601.22055或更高版本。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanServer\Parameters] "ABELevel"=dword:00000003
更多信息:
在启用了ABE的Windows Server 2008 R2上,CPU使用率较高
http://support.microsoft.com/kb/2732618
[…]
上述密钥的值设置如下:
值= 0:所有级别都启用了ABE(缺省行为,没有键)
值= 1:启用ABE深度为1(\ server \ share)
值= 2:ABE深度为2(\ server \ share \ folder)
等等多层次。