AD 中的特殊身份安全组

AD 中的特殊身份安全组

在活动目录中,是否有办法创建使用特殊身份的安全组?我可以解释我为什么要这样做,但写出来有点冗长。

我想要组建一个除创建者所有者之外的经过身份验证的用户组。

我希望该组拒绝经过身份验证的用户权限,除非他们拥有文件夹或文件的创建者所有者权限。

我的问题是,由于创建者所有者的用户也是经过身份验证的用户,如果我拒绝经过身份验证的用户,则会覆盖我为创建者所有者设置的允许权限。

除了寻求确认之外,可能没有其他办法可以做这样的事情。

答案1

这是不可能的。拒绝条目始终优先于允许条目,除非“拒绝”条目是继承的,“允许”条目是明确的。

但是,还有一种更好的方法可以实现您的目标。只需从 ACL 中删除经过身份验证的用户条目即可。(您可能必须先禁用继承。)如果用户不匹配任何 ACL 规则,则默认操作为拒绝。因此,如果您只是CREATOR OWNER在父文件夹上分配所需的权限并阻止那里的经过身份验证的用户条目应用于文件,则只有创建文件的人才能访问它。

还请注意,这CREATOR OWNER实际上不是一个人;当用户在文件夹中创建文件时,其在文件夹中的条目将被替换为特定于用户的条目。这种情况只会发生一次;它不是始终引用所有者的动态事物。

进一步阅读:NTFS 权限,第 2 部分

相关内容