在我的Windows服务器上,我有一个名为“数据”的共享,里面的数据是3个子文件夹,称为1,2和3。
NTFS权限如下
数据(AllStaff组在这里有修改,pipe理员完全控制)-folder1(inheritance父权限)-folder2(AllStaff权限已被删除,2个非pipe理员用户添加修改权限)-folder3(inheritance父权限)
我的问题是,每个人仍然可以读取和写入到folder2,尽pipe查看NTFS权限文件夹不是inheritance从父母烫发和onlt 2用户应该有访问权限(加上pipe理员),但每个人都可以访问它!
我决定重新开始并将AllStaff组的权限保留在folder2上,但检查每个权限types的“Deny”框,我给了2个用户修改,现在应该有权访问的2个用户不能进入,他们是AllStaff组的成员,所以我可以看到为什么会这样。
有人能解释为什么我不能实现我的目标? 基本上2个用户需要数据共享中的私人文件夹。
非常感谢斯科特
NTFS不支持仅阻止某些inheritance的权限(这恰好是我想从旧的Netware文件系统 – inheritance的权限筛选器中看到的唯一function)。 因此,您应该使用一种方法来devise您的权限层次结构,即在高级别上授予最less的权限,并在较低级别上添加权限。
基本上,你正在devise一个权限层次结构。
我将“数据”共享上的权限设置为:
然后,我会为每个特定的必要用途创build子文件夹,并将这些文件夹的权限授予需要访问的组。
这有一个很好的副作用,就是让用户不用用自己的文件和目录填充“数据”共享的根文件夹。 如果你还没有“文件堆”问题,而且你确实允许用户填充这个根目录,那么你很快就会陷入混乱之中。 (相对而言,我们的客户花了很多钱,清理凌乱的“公共驱动器”,因为他们没有从一个好的子文件夹/许可策略开始,并允许大量文件堆积多年,就像stream沙一样 – 一旦用户将“电子表格”链接到“沼泽”中,“沼泽”中的文件快捷方式等等,您就不能轻易离开)。
此外,除了全部用户特定的目录(例如漫游configuration文件夹,主目录等)外,您不应该对权限进行单独授权。 所有其他权限,即使是“仅仅是一对夫妇”,也应该以组为单位。 在这种情况下,如果您需要给replace员工“替代”同样的权利,那么将来您将会很高兴您使用了团队。 而不是必须保留所有文件系统权限的文档(或者更糟糕的是,不得不手动通过它),你可以把新用户放到与被replace的人相同的组中,并且保证你已经赋予了新的用户与被replace的用户相同的“权利”。
NTFS中的“拒绝”权限应该引发警钟。 它很less用在精心devise的权限层次结构中。 一般来说,如果你自己想要使用“拒绝”,那么你可能已经devise了一些东西。
应该避免阻止权限inheritance,因为它限制了将来的权限灵活性。 如果你打算这样做,你应该有一个很好的理由。
每当中断inheritance层次结构时,都会限制在层次结构中更高级别添加权限的能力,显然,这种权限会inheritance下来。
假设“老板”来找你说:“我希望”高pipe“能够读取整个”数据“份额”。 如果你在20个不同的地方阻塞了inheritance,每一个都需要添加一个ACL条目。 比较一下,在层次结构顶部添加一个ACL条目(假设你从不阻止inheritance层次中的任何地方)。
拒绝将永远超过规则允许。 所以,如果你的2个用户在AllStaff组中,那么他们将被拒绝访问。
至于你原来的问题,我明白这个沮丧,你所描述的不该发生。