我是一个AD新手,并且受到以下情况的任务:Win 2008 r2环境,在AD中创build安全组,其中根文件夹只有所有的读取权限; 子文件夹1已经读取了1个群组公开,另一个群组已满; 子文件夹2没有公共访问权限和完全访问另一个 – 没有组可以更改根文件夹名称。
我有这个问题。 请帮忙!
打破顶层文件夹中的NTFSinheritance。 我会在这个答案中称之为root 。 然后授予已Authenticated Users - Read This Folder Only在高级视图中Authenticated Users - Read This Folder Only 。 您可能还需要将Administrators - Full Control添加This Folder, subfolders, and files以便服务器的pipe理员仍然可以遍历整个目录树。
然后,在这个例子中,创build两个子文件夹: folder1和folder2 。 这些文件夹应该inheritanceAdministrators - Full Control ACE,而不是经过Authenticated Users - Read一个。 现在,您可以根据需要在子文件夹中添加组并授予权限。
你最终会得到这样的结果:
-root (Authenticated Users - Read, Administrators - Full) ----folder1 (Authenticated Users - Read, Group1 - Modify) ----folder2 (Group2 - Modify)
正如一个侧面说明,你几乎从不想给用户完全控制,你想给修改。 这将让他们删除,创build,重命名等,但给他们完全控制,而不是允许他们改变权限。