我们正在运行Windows Server 2003 R2网络Active Directory共享,但遇到了一个问题,即用户为了保护他们的文档,删除了所有人(包括帐户Administrator)的文件/文件夹权限。由于Administrator不再拥有read这些权限,我们甚至无法手动备份文件,因为我们会收到权限错误。
owner我们发现的一个解决方案是将文件和目录的权限更改为Administrator帐户。然后我们可以根据需要更改权限。问题是这必须手动完成,因此无法真正应用于整个共享。
我们尝试过的另一种解决方案是使用cacls如下方法:
cacls d:\path\to\share /C /T /E /G Administrator:F
问题在于我们仍然会收到ACCESS DENIED有关Administrator已删除文件/文件夹的错误。
问题 1:有没有办法以递归方式至少恢复read帐户对所有文件/文件夹的访问权限Administrator?
这只是短期措施。长期来看,我们正在寻找一种解决方案来防止用户删除Administrator文件/文件夹权限。由于我们很快就要迁移,Windows Server 2008 R2如果需要的话,我们可以等到迁移完成后再实施此类解决方案。
问题 2:有没有办法防止用户从 Windows Server 2003/2008 上的文件/文件夹权限中删除管理员权限?
答案1
问题 1:有没有办法以递归方式恢复管理员帐户对所有文件/文件夹的至少读取权限?
如果权限是继承的(即没有在不同的文件和文件夹上分别设置),则更改根文件夹的权限并设置“替换所有子对象......”复选框将用继承的权限替换所有权限。
这当然会取代那些应该具有不同权限的子项的权限。
问题 2:有没有办法防止用户从 Windows Server 2003/2008 上的文件/文件夹权限中删除管理员权限?
不。
虽然“更改权限”有一个单独的标志,但 Windows 会为文件所有者忽略此标志(所有者始终可以更改权限),否则空的 ACL(或拒绝所有人所有 ACE 的 ACL)将不可逆。
由于出现权限错误,我们甚至无法手动备份文件。
为什么需要这样的手动操作?备份软件应运行并声明备份(以及在恢复时,恢复)权限,这将绕过 ACL。如果用户需要手动备份他们拥有的某些文件,那么他们可以轻松复制。
或许这确实是用户培训的问题:如果您拒绝管理员访问,那么管理员就无法帮助您进行文件管理。
答案2
具体做什么取决于问题的严重程度、有多少人这样做以及受影响的目录是如何构成的。
您应该设置共享目录,以便个人和群组目录继承权限。然后,如果人数不多,您可以控制他们的目录并重置权限。或者您可以告诉每个人 - “除非您让管理员使用您的帐户并更改内容,否则不会为您提供备份。”
(并告诉他们,如果他们再次这样做,他们会后悔的,因为“没有备份”就是问题的开始。)
如果它被广泛传播,您可以拥有一切,设置所需的管理员权限(在此之后,我会将其设置为“完全控制”而不仅仅是读取权限),然后添加适当的用户或组权限。
答案3
清理完乱七八糟的东西后,你可以防止这种情况再次发生。你可以让用户对 NTFS 权限拥有“完全控制权”,只需将共享权限设置为更改而不是完全。网络访问是两者的结合。当你的管理团队需要完全控制网络上的数据时,使用 driveLetter$ 共享之一到你仍然在共享级别拥有完全控制权的相同路径。