特定的 NTFS/共享权限

特定的 NTFS/共享权限

我对一些文件夹权限的创建有些困惑。我相信创建它们相当简单,但我却陷入了困境。

我为目录的每个子文件夹创建了安全组。有一个总体安全组允许公司中的每个人都查看该文件夹。在为子文件夹分配权限时出现了一些问题。当我删除“所有人”组时,我就无法查看子文件夹了。

主意:

  • 顶级目录- 所有人都可以看到

    • 目录 1- 所有人(可以看到文件夹但看不到内容)| 第 1 组 - (读/写/执行)
    • 目录 2- 所有人(可以看到文件夹但看不到内容)| 第 2 组 - (读/写/执行)
    • 目录 3- 所有人(可以看到文件夹但看不到内容)| 第 3 组 - (读/写/执行)

任何帮助将不胜感激!

谢谢!

答案1

一些可以帮助你的评论

  • 查找哪个组授予您访问权限,然后您自己回答您的问题。

  • 您必须区分两种类型的安全组:

    • 访问资源的群组。通常,每个资源(此处为托管目录)上都有 R/Exec 和 RW 组。切勿向用户授予完全控制权,切勿,切勿
    • 管理群组. 必须在所有地方都具有完全控制访问权限。

如果您是管理员,您必须是一个或多个管理组的成员。例如,ServiceDesk 组、管理服务器、管理工作站组、域管理员(是的!所有管理员都不应是该组的成员)

  • 那么共享的访问权限又如何呢?别在意,别玩这个。每个人都有完全控制权或更安全,域用户或经过身份验证的用户有完全控制权。如果您愿意,可以添加 AD 组,但之后管理起来真的很难(有时甚至不可能)。

    请记住:在共享权限和 NTFS 权限之间,最小的为优胜者。 即:共享上的访问权限 - NTFS 权限 - 结果读取 - 完全控制 - 读取正常当您考虑它时,您必须在访问文件之前通过共享。

如果您想快速审核/管理 NTFS 权限:使用模块 NTFSSecurity(在 powershell Gallery 中)

使用示例,包含几行代码:$share = "\server\share" # 收集第一级目录。如果是多级目录,请使用 -Depth $Tree = Get-ChildItem -Path $share -Directory | Select-Object Name, FullName # 导入模块 NTFSSecurity(最好使用 Get-Acl cmdlet)Import-Module NTFSSecurity # 收集共享的 NTFS 权限 $result = Get-NTFSAccess -Path $share # 收集每个子目录的 NTFS 权限。$result += foreach ($dir in $Tree) { Get-NTFSAccess -Path dir.fullName -ExcludeInherited # 只是为了减轻输出文件负担。您还可以根据要查找的内容使用 -ExcludeExplicit。} # 导出到 .csv 文件 $result | Export-Csv -Path c:\exportPath\NTFSPerms.csv -NoTypeInformation # 必要时使用 -Encoding -Delimiter

注意:不要将此视为脚本,没有错误处理。它只是几行代码,仅此而已。

问候 Oliv

相关内容