我有一个Windows 2008 R2文件服务器提供Win和Mac(SMB)客户端。 我有5个文件夹:快乐悲伤孤独的臭和脾气暴躁。 所有的文件夹都应该公开给除快乐和悲伤之外的域用户,这些应该限制在快乐和悲伤安全组(活动目录)中。 我希望每个有权访问的人都能够创build文件夹和文件,但不能删除根共享。 他们应该能够删除共享内的文件和文件夹。 另外,我希望文件和文件夹的创build者所有者能够更改权限,以便他们可以将他们创build的文件夹限制为某个人或组。 权限的inheritance似乎使这项任务变得困难。 请协助。
你正在寻找的是很有可能的,但可用性是一个相当大的挑战。 它可以通过命令行调用来完成(在Windows上,你的Mac用户将失去运气),复杂程度不尽相同,但GUI完全处于“高级”领域。
给创build者拥有者创build文件和目录所需的任何东西,但不对顶层目录做任何事情:
icacls grumpy /grant *S-1-5-11:(Rx) # Authenticated Users: RO top icacls grumpy /grant *S-1-5-11:(io)(M) # Grant Auth users Modify to subs icacls grumpy /grant *S-1-3-0:(io)(oi)(ci)(f) # Creator-Owner for new objs 这将创build一个脾气暴躁的目录,身份validation的用户将无法删除脾气暴躁,但几乎可以做任何事情下面,任何他们实际上创造任何东西。
受限制的组版本非常相似:
icacls happy /grant happy-people:(Rx) icacls happy /grant happy-people:(io)(M) icacls happy /grant *S-1-3-0:(io)(oi)(ci)(f)
(F)权限使用户能够执行任何操作,包括修改访问列表。
至于其余的请求,这是蹩脚的用户因素发挥作用。 正如我所说,这是可以做到的,但是训练你的用户做对了将是一个持续的挑战(而Mac用户将会失去运气)。
用户决定将他们创build的某个文件夹locking到合适的人员:
icacls grumpy\Newsbits /inheritance:d icacls grumpy\Newsbits /remove *S-1-5-11 icacls grumpy\Newsbits /grant grumpy-news:(oi)(ci)(M)
第一步是阻止inheritance。
第二步是删除授予其他人访问权的权利。
第三步是授予额外小组的权利。
当你试图在一个受限制的目录中这样做的时候, 真的很糟糕。
icacls happy\mystuff\Newsbits /inheritance:d icacls happy\mystuff\Newsbits /remove happy-people icacls happy\mystuff\Newsbits /grant happy-news:(oi)(ci)(M)
相同的工作stream程,但您的用户有一个问题:他们不能开始“开心”,并浏览下来。 他们必须直接访问happy\mystuff\Newsbits目录。 碰巧,你可以使它工作,但是它涉及修改mystuff目录中的ACL以允许通过。
icacls happy\mystuff /grant happy-news:(rd)
所有这一切都可以通过Windows GUI来完成,但是icacls使得文档更容易。
正如我所说,可以做到。 但不是你所说的可用。