为什么当管理员组的权限已从驱动器根目录的权限列表中明确删除时,还会从驱动器根目录继承该组的权限?(Windows Server 2003)

为什么当管理员组的权限已从驱动器根目录的权限列表中明确删除时,还会从驱动器根目录继承该组的权限?(Windows Server 2003)

我从 Windows Server 2003 系统上驱动器根目录“C:\”的安全选项卡中删除了管理员组,以防止授予所有管理员完全控制权。

现在,当我在驱动器根目录(或设置为继承权限的子文件夹)中创建文件时,该文件的安全性列出了具有完全控制权限的管理员组,声称是从驱动器根目录“C:\”继承的。

文件如何继承我从驱动器根目录删除的管理员组权限?

答案1

如果您是管理员组的成员,那么这是 Windows 的一项功能,它将所有者设置为管理员组而不是您的用户帐户。

我猜您在权限中看到管理员是因为您在根 ACL 中拥有 CREATOR/OWNER。在这种情况下,CREATOR/OWNER 是管理员(由于上述行为),因此管理员出现在 ACL 中。

我不太喜欢在 ACL 中包含 CREATOR/OWNER,因为你可能会得到这种奇怪的行为。我总是将 root 权限设置为管理员和系统,并赋予其完全控制权,然后只在需要时才向子目录添加额外权限。

JR

答案2

这可能与管理员组作为文件夹所有者以及创建的文件具有所有者的访问权限有关。

答案3

有时它们可​​以被记住,特别是当某些东西有句柄时。在安全选项卡上,转到高级,选择替换权限条目的选项,这应该会强制关闭它。

答案4

C 的根目录中还有一个具有特殊权限的组。根据您使用的操作系统,可以是经过身份验证的用户 (Authenticated Users) 或所有人 (Everyone)。

您确实需要在此处发布此命令的输出,以便我们确定发生了什么:

icacls c:

或者

cacls c:

输出将有助于确定问题。

相关内容