我有一个多层级的网络共享。对于某个特定文件夹,我想分配不同于共享文件夹允许的默认访问权限的权限。但是这似乎不可能,因为所有子权限都是从共享权限继承的。因此,如果共享权限将共享设置为只读,我是否可以不覆盖子文件夹中的权限以允许写入访问权限?
答案1
大多数 Microsoft 人员会告诉您,除非您有充分的理由在共享级别设置权限,否则您应该在 NTFS 级别正确设置权限,然后打开共享。NTFS 权限设置具有很大的灵活性,可以让您做任何需要做的事情,如果您的某位员工设法以某种方式在本地登录,那么在文件系统级别对文件进行 RW 是一个很大的安全漏洞。
答案2
不,您不能覆盖共享权限。
共享权限位于 NTFS 权限之上。您需要共享和NTFS 权限可对通过所述共享访问的文件执行任何操作。因此,完全可以允许“每个人”在共享级别拥有完全的 RW 访问权限,然后控制他们在 NTFS 级别可以实际执行的操作。这就是您在这种情况下需要做的事情。
答案3
没错。共享权限高于任何文件权限。这是标准。大多数文件对于每个人来说都是 RW,但在共享级别受到限制。如果文件权限高于共享,则共享权限毫无意义。
最好的选择是共享具有其自己的共享和共享权限的子文件夹并允许用户以这种方式访问它。
答案4
作为最佳实践,配置共享权限的最有效方法是让经过身份验证的用户拥有完全控制访问权限。然后,NTFS 权限应为每个组配置所需的权限。这为对资源的本地和网络访问提供了安全性。它还在备份资源以及更改或重新定位资源名称时提供对资源的保护。
要计算用户通过共享访问资源的有效权限,请比较用户的共享权限和 NTFS 权限,并使用最严格的权限。除了限制性之外,没有优先权。如果您不通过共享访问文件,则不会应用共享权限。
如果您使用的是 Server 2003 SP1 或更高版本,您还可以使用基于访问的枚举来进一步保护资源。请参阅Windows Server 2003 基于访问的枚举