在我的 Windows 服务器上,我有一个名为“数据”的共享,数据里面有 3 个子文件夹,分别称为 1、2 和 3。
NTFS权限如下
数据(AllStaff 组在此处具有修改权限,管理员具有完全控制权)-folder1(继承父级权限)-folder2(AllStaff 权限已被删除,并添加了 2 个具有修改权限的非管理员用户)-folder3(继承父级权限)
我的问题是,每个人仍然可以读取和写入文件夹 2,即使查看 NTFS 权限,该文件夹没有从父文件夹继承权限,并且只有 2 个用户(加上管理员)才应该有访问权限,但每个人都可以访问它!
我决定重新开始并让 AllStaff 组对文件夹 2 具有修改权限,但选中每种权限类型的“拒绝”框,我授予 2 个用户修改权限,现在应该有访问权限的 2 个用户无法进入,他们是 AllStaff 组的成员,所以我明白为什么会这样。
有人能解释一下为什么我无法实现我的目标吗?基本上 2 个用户需要数据共享中的一个私人文件夹。
非常感谢斯科特
答案1
NTFS 不支持仅阻止某些继承的权限(这恰好是我希望从旧 Netware 文件系统中看到的唯一功能——继承权限过滤器)。因此,您应该采用在高级别授予最少权限并在低级别添加权限的方法设计权限层次结构。
基本上,您正在设计一个颠倒的权限层次结构。
我将“数据”共享的权限设置为如下形式:
- 管理员 - 完全控制
- 系统 - 完全控制
- 经过身份验证的用户 - 列出文件夹内容 - 仅限此文件夹(在“高级”对话框中设置)
然后,我会为每个特定的必要用途创建子文件夹,并向需要访问的组授予这些文件夹的权限。
这有一个不错的副作用,那就是防止用户用自己的文件和目录填充“数据”共享的根文件夹。如果你还没有遇到“文件堆”问题,并且你做允许用户填充该根目录,你很快就会陷入混乱。(我们有客户花了很多相对而言,清理混乱的“公共驱动器”花费的钱并不多,因为它们一开始就没有良好的子文件夹/权限策略,导致大量文件堆积多年。这就像流沙——你被困在里面,一旦用户拥有带有“链接”的电子表格进入“沼泽”,拥有“沼泽”中文件的快捷方式等,你就无法轻易脱身。)
此外,你不应该曾经除了完全用户专用目录的情况(如漫游配置文件文件夹、主目录等)外,在权限中命名各个用户。所有其他权限,即使只针对“几个人”,也应基于组。人员流动是不可避免的,将来,当您需要为替代员工授予与他们所替代的员工“相同的权限”时,您会很高兴自己使用了组。您不必保留有关您可能已设置的所有文件系统权限的文档(或者更糟的是,必须手动浏览它),您只需将新用户放入与被替换人员相同的组中,并确保您已为新用户授予与被替换用户“相同的权限”。
NTFS 中的“拒绝”权限应该引起您的警惕。在精心设计的权限层次结构中,它很少使用。通常,如果您发现自己需要使用“拒绝”,那么您可能设计错了。
应避免阻止权限继承,因为这会限制未来的权限灵活性。如果您要这样做,您应该有充分的理由。
每次破坏继承层次结构时,您都会限制在层次结构中更高位置添加权限的能力,而这些权限显然会向下继承。
假设“老板”来找您并说:“我希望‘高管’拥有对整个‘数据’共享的读取权限”。如果您在 20 个不同的地方阻止了继承,则每个地方都需要添加一个 ACL 条目。将其与在层次结构的顶部添加单个 ACL 条目进行比较(假设您从未在层次结构的任何地方阻止继承)。
答案2
拒绝总是优先于允许。因此,如果您的 2 个用户属于 AllStaff 组,则他们将被拒绝访问。
至于您最初的问题,我理解您的沮丧,您所描述的事情不应该发生。