我有一个小组(A组) 需要访问子文件夹(文件夹A2) 子文件夹(文件夹A1) 份额文件夹A。
共享文件夹文件夹A和子文件夹:
FolderA
|
+--FolderA1
|
+--FolderA2
这就是我想要完成的(步骤 1 和步骤 2 工作正常):
文件夹A共享限制为只读,我不希望用户能够在根目录中创建文件夹或文件文件夹A分享。
A组应该能够创建、删除和修改文件夹和文件 文件夹A1文件夹,但无法删除文件夹A1文件夹。到目前为止,它运行良好。
文件夹A2必须只对属于A组因为该文件夹包含敏感信息,只有两个用户才有权访问。
由于我到第 2 步或子文件夹为止一切都运行正常文件夹A1,我只会描述我所做的事情文件夹A2。
讲话福德A2问题,我已完成以下工作:
- 创建B组
- 已将用户添加至B组需要访问文件夹A2
- 禁用继承文件夹A2。
- 已移除A组使用权
添加B组进入文件夹A2安全并应用于“仅限此文件夹“并在高级权限下选择以下内容:
- 遍历文件夹/执行文件
- 列出文件夹/读取数据
- 读取属性
- 读取扩展属性
- 创建文件/写入数据
- 创建文件夹/附加数据
- 写入属性
- 写入扩展属性
- 删除子文件夹和文件
读取权限
- 又加了一个B组进入文件夹A2安全并应用于“仅限子文件夹和文件”并在高级权限下选择以下内容:
遍历文件夹/执行文件
- 列出文件夹/读取数据
- 读取属性
- 读取扩展属性
- 创建文件/写入数据
- 创建文件夹/附加数据
- 写入属性
- 写入扩展属性
- 删除子文件夹和文件
- 删除
- 读取权限
应用此访问权限后,我测试了属于A组他们确实无法访问文件夹A2这很好。现在我尝试属于B组他们可以访问文件夹A2但他们也能删除 FolderA2,这可不好。他们不应该能够删除该文件夹。我该如何解决这个问题?
注意:请注意,由于需要访问文件夹A2已经是有权访问共享的组的成员文件夹A和子文件夹文件夹A1,我没有添加B组进入文件夹A分享或文件夹A1子文件夹。我刚刚添加了B组进入文件夹A2。
======以下是显示文件夹设置的图像======
文件夹A共享权限
文件夹A 权限条目:
高级安全设置FolderA1:
FolderA1 权限条目 1:
FolderA1 权限条目 2:
FolderA2 高级安全设置:
FolderA2 的权限条目:
FolderA2 的权限条目 2:
在测试有权访问 FolderA2 的用户访问时,访问被拒绝:
如果我添加“列出文件夹”第三个权限应用于“仅此文件夹”,我就可以访问该文件夹。我可以删除文件和文件夹,但不能创建文件或文件夹,但我可以删除 FolderA2。
答案1
他们还可以删除 FolderA2,这可不好。他们不应该能够删除该文件夹。我该如何解决这个问题?
您可以运行适用的伊卡克尔斯命令指向您想要锁定的特定明确文件夹,并将该文件夹级别的权限设置为DENY
。因此,一旦您设置了所需的访问权限(如您所解释的),只需运行此命令,所有内容就应该按您的需要进行设置。DELETE
GroupB
GroupB
1. 禁用继承
右键单击FolderA2
,选择Properties
选项Security
卡, Advanced
,Disable Inheritance
选择Convert inherited permissions into explicit permissions on this object
选项,然后单击Apply
> OK
。
返回属性Security
选项卡FolderA2
,选择Edit
按钮。现在选择并删除列出的所有组和帐户,但保留Domain Admins
、System
、 和Creator Owner
、Apply
、OK
。
现在运行下面的iCALCS 命令如图FolderA2
所示,然后单击Apply
> OK
。
2. iCALCS 命令
一定要看一下禁用继承并在运行此命令之前完成
icacls "\\server\FolderA\FolderA1\FolderA2" /deny "GroupB":(DE)
附加说明: 上述操作还可以防止臭名昭著的文件夹的无意拖放。
警告: 如果在域环境中,请等待最多一小时以使安全更改生效。安全更改生效后,用户帐户可能需要注销,然后重新登录计算机\系统,然后才能获得新设置的 NTFS ACL 安全权限。
等效 GUI 方法
3. 明确拒绝
右键单击FolderA2
,选择Properties
,转到Security
选项卡,然后选择Advanced
按钮。在Advanced Security
窗口中,选择Add
按钮。然后从Permissions Entry
窗口中,单击 选项Select a principal
,输入 并按GroupB
。Enter
从这里您将在 字段Deny
中选择权限,然后在 字段中Type
选择。最后,只需确保在窗口中仅选择了 选项,然后按> 。This folder only
Applies To
Delete
Advanced Permissions
Apply
OK
4. 明确允许
确保MODIFY
您授予或允许的任何权限都GroupB
必须FolderA2
明确表明您确定要应用它,Subfolders and files only
否则根据我的测试,可能会有从此配置中明确GroupB
删除的能力。FolderA2
更多资源
-
DE——删除
/拒绝用户:许可
明确拒绝指定用户的访问权限。
这也将取消任何明确授予
对同一用户赋予相同的权限。