我正在重组我所拥有的混乱的 Windows Server 2012 共享。
我想iCacls编写一个 .bat 脚本,以便我可以将 ntfs 权限设置为尽可能严格,然后在其他管理员随着时间的推移添加额外权限等的情况下使用此脚本恢复到我预先决定的“默认”ntfs 权限结构。
我读到过,iCacls除非文件所有者调用它,否则在设置权限时会收到“拒绝访问”错误,所以我考虑过使用它TAKEOWN driveletter: /R来获得共享上所有内容的所有权。
如果将所有内容的所有权更改为 domainname\administrator ,是否会带来任何安全风险?我担心这是单点故障或类似问题。
答案1
设置所有者不会改变安全权限,因此不存在安全风险。设置安全权限会改变安全权限,但仅限于网络上的安全权限。为了管理文件,您实际上并不需要成为所有者,只需加入安全组或添加为具有完全访问权限的安全成员即可。但如果您没有这些,那么您也无法设置所有权。请注意,您始终可以从底部推动权限并设置所有权限以继承这些权限。最好的策略是首先宣布您正在处理它并且人们不能使用这些权限,然后删除所有权限,并从头开始构建。