我遇到的问题是用户在共享驱动器上的树状文件夹组织中移动文件夹。用户教育并没有改善这个问题,所以我想使用权限来限制哪些文件夹可以移动以及移动到哪里。我想保留前两层文件夹,但将第 3 层和第 4 层限制为只读权限,并授予从第 5 层到无限层的修改权限,而无需触及所有现有文件夹。
\\server\share\[%year]\[%project name]\[%content folder]\content.doc
\\modify\modify\ read \ read \ modify \ modify
我祈祷有人可以告诉我如何根据文件夹结构中的深度设置文件夹的权限(理解如果引入另一层父文件夹,它将根据树中的新层级改变子文件夹的权限)。
这是一个现实的概念吗?还是我要花一周时间逐个重组权限?
答案1
如何根据文件夹结构设置共享权限
我遇到的问题是用户在共享驱动器上的树状文件夹组织中移动文件夹。
我以前在 Windows 域环境中使用以下方法解决过这个问题加拿大临床神经外科学会使用以下命令锁定文件夹,以确保这些文件夹不能被具有该文件夹修改访问权限的用户帐户或安全组中的用户帐户移动(或删除)(请参阅下面的 ICACLS 命令提示符示例语法等)。
您可以更换安全组名称和用户名如果这就是您保护网络共享文件夹资源的方式。
ICACLS 命令提示符示例
ICACLS "\\Server\Share\Folder\<Folder Name To Lock Down>" /deny "SecurityGroupName":(DE)
使用的选项
/拒绝用户:许可- 明确拒绝指定用户的访问权限。这还将删除对同一用户的任何相同权限的明确授予。
(德国)- 仅在顶层文件夹中明确拒绝删除权限,这也可以防止意外拖放。文件级存档属性会在您进行此更改的文件夹中的所有文件上进行检查,因此这可能会对您的文件级备份作业产生影响。
有人可以告诉我如何根据文件夹结构的深度设置文件夹的权限
不过,就您的结构而言,请在顶层授予用户\安全组读取权限,然后在他们需要修改权限的地方,在那些子文件夹级别明确授予该权限。我假设您熟悉在需要的文件夹级别设置这些权限的实际选项,并且只需要有关在哪里设置这些权限的建议。
尝试使文件夹级别的安全性尽可能保持标准,如果您需要明确设置超过 3 或 4 级的权限(至少在我支持的业务类型中),那么这可能意味着设计不佳。
通常我们尝试只保留两层/department/subdepartment(例如/Finance/Accounts Payable,/Finance/Payroll等等)。经理或高管将从顶层一直向下获得修改权限,然后子部门只能访问他们所属的子部门。
至于\\server\shareUNC 路径部分,我通常会在这些级别授予读取访问权限,然后需要更多权限的组将在~\department\~或~\department\subdepartment级别获得所需的权限,如上文所述。重点是不允许某人访问他们不应该访问的部门或文件夹。