我想禁止用户访问磁盘 D:,除了他个人的 D:\Documents 文件夹。该用户属于用户组。我不想限制整个用户组,所以我应该以某种方式创建一个具有相同权限但没有访问 D: 的新组
我怎样才能做到这一点?
答案1
仅当要将多个用户(或类似用户)帐户放入该组时,才应创建该组。我建议您不要创建新组,而是拒绝特定用户访问除 d:\documents 文件夹本身之外的所有内容,因为这更直接符合您的最终目标。或者,您可以创建一个其他所有人的组,但每次添加新用户时都需要进行额外的管理和维护。
参考您的标题,无法复制组权限。权限存储在文件对象本身(或其元数据)的文件系统中,因此如果有人选择编写一个功能来复制权限(他们没有),就必须搜索整个磁盘。
我的建议是,在 D:\ 驱动器对象上,将用户添加到权限列表,并编辑用户权限,授予Deny
用户除“列出文件夹内容”之外的所有内容。在 d:\documents 目录中,授予用户完全控制权。
最后,在 d:\documents 目录中,进入“安全”选项卡的高级视图(一路单击“更改权限”),取消选中“包括可从此对象的父级继承的权限”。系统将提示您复制或删除从父级继承的权限,因此请选择“复制”,然后删除拒绝规则。最后,选中“用可从此对象继承的权限替换所有子对象的权限”复选框,然后单击“应用”。Windows 将自动设置子权限并取消选中该复选框。
这样,用户可以访问 d:\documents,但无法读取/写入该目录之外的任何内容。
另一种不太容易管理的方法是为除有问题的用户之外的所有用户创建一个组,授予该组对 d:\root 的完全控制权,并将用户组从权限列表中完全删除。然后在 d:\documents 上,添加具有完全控制权的用户。
这两种方法都不是最佳的,但都可以起作用。