我正在虚拟机中试用 Server 2016,并在服务器上创建了一个非常基本的文件共享系统(这也是 AD、DHCP 和 DNS 服务器,我知道这不是最佳实践,但它可以用于纯粹的测试目的)
我的问题是,我创建的文件共享旨在模拟最终用户主驱动器,我不知道如何让每个用户只对其驱动器文件夹具有写访问权限。我不想为每个用户手动添加权限
我已经将共享权限设置为“Everyone”具有完全控制权,但不确定如何配置 NTFS 权限
答案1
设置用户主驱动器的最方便方法是使用内置的 Active Directory 功能。在 AD 用户对象的“属性”窗口的“配置文件”选项卡上,有一个“主文件夹”部分。选择“连接”并输入您已创建的共享下的路径(例如\\server\homes\jsmith
)。如果该路径尚不存在,系统将为您创建该路径,并配置 NTFS 安全性,以便您正在修改的人拥有完全控制权。请注意,即使您将用户的主目录更改回空,新创建的文件夹及其安全设置仍会保留。
如果您不想使用内置功能,事情就会变得不那么方便。不过,有一种方法可以减轻一些工作负担。您可以在共享文件夹上设置 NTFS ACL,这样当用户创建文件夹时,只有他们才能完全访问该文件夹及其后代。在“高级安全设置”窗口(单击文件夹属性的“安全”选项卡上的“高级”)中,首先禁用继承,并且不复制继承的条目。然后添加以下权限:
- 允许系统完全控制“此文件夹、子文件夹和文件”
- 对于管理员来说也是如此
- 允许用户对“此文件夹、子文件夹和文件”进行“读取和执行”、“列出文件夹内容”和“读取”
- 允许创建者所有者完全控制“仅限子文件夹和文件”
- 允许用户仅在“此文件夹”上“创建文件夹/附加数据”(您需要单击“显示高级权限”才能看到)
如果您不希望用户能够读取彼此的内容,您可以在第三项中使用“仅限此文件夹”。最后两点是奇迹发生的地方。CREATOR OWNER 是一个占位符,在文件创建时转换为创建者用户。但是,在创建子文件夹时,它会保留下来。允许所有用户在根目录下创建文件夹,这为他们提供了足够的权力来利用 CREATOR OWNER 主体来创建自己的空间。