在 Windows Server 2003 上,权限不会传播到组成员组

在 Windows Server 2003 上,权限不会传播到组成员组

i386 上的 Windows Server 2003。

FTP 服务器以 SYSTEM 用户/组身份运行。

一些我们想要提供(读写)的文件归“ftp”组所有。ftp
对这些文件和目录具有完全的读/写/其他权限。

SYSTEM 无法读取/写入这些目录。因此,我将 SYSTEM 添加到“ftp”组。Windows 很乐意遵守,但即使重新启动 Filezilla 后,它仍然无法读取/写入这些文件。

有没有办法在不“重新许可”所有这些文件的情况下做我们想做的事情?以“ftp”身份运行 ftp 服务器实际上不是一个选择,因为它还提供 SYSTEM 拥有的文件(而不是 ftp)。
唉…… :)

有什么见解吗?

答案1

系统(本地系统)不是一个组,而是一个具有固定的众所周知的安全标识符的本地帐户,用于允许服务在本地系统上以最高级别的权限运行。当在此上下文中运行的服务需要在网络上下文中运行时,它们会显示系统的计算机帐户,而不是 .\Localsystem 或 computername\localsystem。

如果您的服务需要在网络环境中访问某些内容的权限,那么您应该将计算机帐户添加到提供这些权限的组中。

答案2

顺便说一下,SYSTEM应该默认具有完全控制权限一切点击的)(假设您使用的是安全而不是共享 - 您是的,不是吗?)所以我肯定会建议重新许可。我知道这很麻烦,但现在就获得许可总能让您免于以后的麻烦。

答案3

摘自 MH 链接的文章(重点是我的):

系统帐户和管理员帐户(管理员组)具有相同的文件权限,但它们的功能不同。系统帐户由操作系统和在 Windows 下运行的服务使用。Windows 中有许多服务和进程需要内部登录的能力(例如在 Windows 安装期间)。系统帐户就是为此目的而设计的; 它是一个内部帐户,不会显示在用户管理器中,不能添加到任何组,也不能分配用户权限。另一方面,系统帐户确实显示在文件管理器的安全菜单权限部分的 NTFS 卷上。默认情况下,系统帐户被授予对 NTFS 卷上所有文件的完全控制权。此处系统帐户具有与管理员帐户相同的功能权限。

这意味着你不能像其他用户帐户一样将系统帐户放入组中;如果你想让它能够访问某些文件(你肯定,无处不在),那么它应该明确分配 NTFS 完全控制权限给

相关内容