据我了解,如果用户创build一个文件夹,他们成为所有者,并可以控制NTFS权限,包括删除授予域pipe理员的inheritance权限。
防止域pipe理员被拒绝访问networking文件夹的最佳方法是什么? 这些是我读过的一些方法:
这似乎更像是一个pipe理问题而不是技术问题。 以脚本的forms拥有所有权,或试图阻止less数可以使用权限的人比我认为值得的更麻烦。
在过去,我们已经使域名pipe理员完全无法访问个人文件夹,但是人们不可避免地打电话问“你能查看我个人目录中的内容吗?
所以我们遵循pipe理员必须能够阅读所有内容的政策(有一些例外)。 如果我们遇到有人阻止pipe理员访问的文件夹,我们会找出原因,解释为什么我们认为我们有权访问更好,并将权限更改回默认值。 如果这件事发生在我们追查问题的时候,那就是为什么我们有这个政策:所以我们可以简单地控制一下,稍后再把它整理一下。
您可以部署的选项只是通过组策略隐藏权限选项卡。 它不会阻止一个真正有创造力的用户,但它会迅速淘汰大部分可能鼓吹的东西。 除此之外,只要pipe理员完全控制,就没有必要担心所有权。 如前所述,您始终可以拥有所有权。