在共享资源中有一个目录,每个人都可以访问,我必须保护它,以便只有一个用户可以访问它,因此我继续创建他们的帐户,然后设置目录的权限,默认情况下它有 6 个不同的权限配置文件:
- 每个人
- 用户
- 行政人员
- 管理员
- 創作者 所有者
- 系统
所以我只需要将新用户的帐户添加到安全配置文件中并撤销对 Everyone 和 Users 组的访问权限,对吗?问题是这个新帐户也是 Users 组的成员,显然也是 Everyone 组的成员,如果我撤销对这两个组的访问权限,我也会失去对新用户帐户的访问权限,更不用说我也失去了对 Adminitrator 帐户的访问权限(但我仍然可以编辑权限设置,即使 Windows 告诉我不能这样做)。
我该怎么办?
答案1
首先,将用户添加到 NTFS 权限是可能的,但不建议这样做,因为如果文件/文件夹上有很多单个用户,系统将花费大量时间来确定权限。在小型网络中,这可能不是问题,但无论如何这是一件坏事。
您总是为文件或资源创建一个组,例如组“Fldr_NewFolder”,并在 NTFS 权限上设置此组。删除您不希望有权限使用此文件夹的所有用户或组。不要创建不必要的拒绝用户/组条目,如果您删除该组,它将无权访问该文件夹。
(您可以使用白名单或黑名单方法。白名单只需添加您希望有权访问此文件夹的用户,并从安全选项卡中删除所有其他用户。黑名单允许所有用户组访问该文件夹,然后添加所有具有拒绝权限的组,您不想授予该文件夹权限。我总是更喜欢白名单方法。)
现在您可以转到用户并将用户添加到组“Fldr_NewFolder”。但微软仍然不推荐这样做。通常您还有一个组“User_GroupA”,并且您想将该组添加为组“Fldr_NewFolder”的成员。
您应该阅读有关 Microsoft 文件/共享管理的最佳实践。
http://community.spiceworks.com/how_to/show/27258-best-practice-security-windows-file-sharing
这些特定于 Windows 2008 -
管理共享文件夹的权限 http://technet.microsoft.com/en-us/library/cc753731.aspx
文件服务器上的共享和 NTFS 权限 http://technet.microsoft.com/en-us/library/cc754178.aspx
======
这些也适用于 Windows 2008-
使用 NTFS 权限保护文件的最佳做法 http://technet.microsoft.com/en-us/library/cc782737(v=ws.10).aspx
共享权限 http://technet.microsoft.com/en-us/library/cc784499(v=ws.10).aspx