环境:没有 Active Directory 和域控制器。服务器是 Win 2008
我有一个目录,只设置了 ALLOW 权限(没有 DENY 权限)..并且没有继承权限。我有两个组(管理员和共同所有者)设置为完全控制。但是,该组的成员无法查看/修改该文件夹。
例如,如果我明确添加具有完全权限的“管理员”,那么该用户就可以正常访问/修改。为什么授予 GROUP 权限并没有赋予该组成员我期望的访问权限?
欢迎提出任何意见或建议。
答案1
我猜测,该团体成员资格尚未建立。
当您与服务器建立 SMB 连接时,服务器会确定您属于哪些组。对组成员身份的更改只有在重置 SMB 连接后才会生效。请使用该whoami工具验证这一点。
> whoami /groups
您可以使用共享和存储管理工具获取打开的会话列表,甚至可以在那里关闭 SMB 会话,这使得测试更快。
更新:通常,只在 NTFS 级别分配权限是一个好主意。尝试更改共享权限以允许“所有人”拥有“完全控制”权限,以消除一个可能的原因。
答案2
因为在 GPO 中(无论是否有 AD,Windows 操作系统都有 GPO ;))顶级权限始终覆盖下级权限。如果没有特定策略,行为将是“始终拒绝”。在这种情况下,当您明确添加“管理员”(用户)时,会覆盖“管理员”(组)的策略,然后您就会获得权限。如果您不添加,组策略会授予该权限,但默认用户权限(例如管理员)会覆盖并拒绝它...但是,当您授予“所有权”时...这就是您所需要的 :) 它始终覆盖默认值 ;)(当然,除非您明确添加任何用户 ;) 正如我上面提到的,顶级策略始终覆盖下级策略 ;))