我有一台Windows Storage Server 2008计算机充当我们的公司文件服务器。 我需要给他人访问我们的市场营销文件夹(其中包含容易超过100,000 +文件)相同的文件夹和文件。 用户需要访问市场营销/图像,但没有其他的营销文件夹。 所以我的想法是增加阅读权限的营销文件夹,然后添加读/写图像文件夹,子文件夹和文件。
当我去添加营销文件夹的权限,我select正确的读取权限,然后我把范围设置为“仅此文件夹”。 当我点击应用程序,似乎触摸营销文件夹内的每个文件(永远需要)。 最后,它只是像我所期望的那样将他的权限添加到Marketing文件夹中,但它仍然需要触及其他所有单个文件。
它在做什么? 所有其他文件inheritance他们的权限,它是否告诉每个单独的文件“从市场营销除了用户John Doe的inheritance权限”? 我做错了吗?
实际上,您可以直接在映像文件夹上授予用户适当的权限,而不必在父文件夹上授予他们任何权限。 “跳过遍历检查”用户权限将允许用户遍历一组他们没有权限访问他们有权限的文件夹的文件夹。 请注意,用户将不得不显式访问图像文件夹的path,因为他们将无法浏览到它。
从“绕行检查”用户权限说明:
跳过遍历检查
此用户权限确定哪些用户可以遍历目录树,即使用户可能对遍历的目录没有权限。 这个特权不允许用户列出目录的内容,只能遍历目录。 该用户权限在默认域控制器组策略对象(GPO)中以及工作站和服务器的本地安全策略中定义。
工作站和服务器上的默认值:
pipe理员备份操作员用户每个人本地服务networking服务
域控制器上的默认值:
pipe理员身份validation的用户每个人本地服务networking服务Pre-Windows 2000兼容访问
你所做的是正确的。 你注意到的行为(这个过程需要“永远”,树中的每个目录和文件似乎都被触动了)就是ACL API的实现方式。 代码可能不检查是什么改变了,所以它不知道,在这个特定的情况下,没有必要recursion树。
joeqwerty的答案也是正确的。 我想强调的是,最终用户可能不适合使用可直接访问(指定完整path)但未浏览(从根目录下移到资源pipe理器中的层次结构)的path。