我们有一个配置了 SMB/CIFS 共享的 Sun Storage Appliance (7110)。它已加入我们的 Active Directory。我试图实现的是:普通域用户(内置 AD 组)应该有权访问驱动器并有权修改文件和文件夹,但不能更改权限(因为用户可以将文件夹的所有其他用户(包括管理员)锁定在外)。AD 组“Storage_Admins”中的用户应该对驱动器拥有完全控制权。有两个地方可以配置用户权限:共享级别 ACL 和根目录 ACL。据我所知,最佳做法是授予每个人在共享级别上的完全控制权,并在根目录 ACL 上执行所有其他操作,但这种方式行不通。我到目前为止所做的是:
分享级别:所有人 - 完全控制根目录:Storage_Admins - 完全控制/域用户 - 修改 结果:域用户可以更改其创建的文件夹的权限,但不能更改根文件夹的权限
分享级别:所有人 - 修改根目录:Storage_Admins - 完全控制/域用户 - 修改 结果:域用户无法更改文件夹的权限,但管理员也无法更改权限。域用户无法重命名或删除文件夹。
分享级别:所有人 - 修改/Storage_Admins - 完全控制根目录:Storage_Admins - 完全控制/域用户 - 修改 结果:域用户无法更改文件夹的权限,但管理员也无法更改权限。域用户无法重命名或删除文件夹。
我读过一些关于科技网并发现了这一点:
所有者有默示的权利允许或拒绝其他用户使用该物品,并且此权利不能被撤回
我认为这正是问题所在。如果用户创建了一个文件夹,他就是所有者,可以更改该文件夹的权限。那么有什么办法可以防止这种行为吗?配置网络驱动器权限的最佳做法是什么?取消所有权不是一个选择,因为事后没有人能弄清楚谁创建了哪个文件。提前致谢。
更新:
- 分享级别:所有人 - 修改根目录:Storage_Admins - 完全控制/域用户 - 修改
如果我在普通 Windows 机器上共享文件夹,则此方法有效。我使用此设置从 WinXP 机器共享了一个文件夹。域用户现在可以修改所有内容,但 Storage_Admins 组成员的权限和完全控制访问权限除外(这正是我想要的)。所以这个问题:
结果:域用户无法更改文件夹的权限,但管理员也无法更改权限。域用户无法重命名或删除文件夹。
显然与 Sun Appliance 有关。设备本身存在继承行为或类似行为。我会调查此事。
答案1
显然与 Sun Appliance 有关。设备本身存在继承行为或类似行为。我会调查此事。
不,这就是 Windows ACL 的工作方式。所有者始终被允许更改其对象的 ACL。您可以使用仅允许“Everyone:Modify”权限的共享来阻止共享内容的这种更改,因为这将“过滤掉”共享级别的任何更改 ACL 请求。如果您想允许管理员更改 ACL,只需将“Storage Admins:Full Control”添加到共享权限中即可。
答案2
好的,搞明白了。在 Windows 中,共享级别只有 3 个选择:读取、更改、完全控制。
在设备中,您拥有共享级别的完整权限集和一个可供选择的下拉框:
如果您选择左上角的“修改”,则将相应地设置复选标记。但是,当您选择“修改”时,复选标记“删除子项”未设置,这就是问题所在。如果我选择“修改”并在共享级别上选中“删除子项”,并在根目录上为域用户设置“修改”,则一切都会按预期运行。