我有一个包含两级层次结构的 Windows 共享文件夹。权限由安全组管理。有趣的权限设置在第二级。只有当用户可以访问任何第二级文件夹时,第一级文件夹才可见。我想通过“反向继承”权限来简化第一级的管理。此外,没有人期望管理员能够对第一级(包括第二级文件夹)进行任何更改。
设置
域中的 Windows Server 2008 R2
等级制度:
- 项目 A (group-a-all,仅读取目录)
- 团队 A1 (group-a1,完全权限)
- 文件
- 团队 A2 (group-a2,完全权限)
- 文件
- 团队 A1 (group-a1,完全权限)
- 项目 B (group-b-all,仅读取目录)
- 团队 B1 (group-b1,完全权限)
- 文件
- 团队 A2 (group-a2,完全权限)
- 文件
- 团队 B1 (group-b1,完全权限)
- [修复器 (group-a1)]
组 group-a1 和 group-a2 是 group-a-all 的成员。例如,访问用户是 group-a1 的成员。为了防止在第二级上进行更改或删除,我还定义了 group-a1 不能在特定文件夹上进行更改或删除。
效果
用户是 group-a1 的成员。她可以看到项目 A 文件夹。但看不到团队 A1。直到我创建了一些包含 group-a1 的 Fixer 文件夹。即使权限在项目 A tee 之外,这也能正常工作。因此,似乎第二级权限只有在第一级使用了这些权限(AD 安全组)时才有效。
为什么会这样?有没有更好的方法来处理这种情况?
答案1
或许:
等级制度:
Team A1 (group-a1, full permission)
Files
项目 A(group-a-all,仅可读取目录)共享文件夹团队 A2(group-a2,完全权限)文件
Team B1 (group-b1, full permission)
Files
项目 B (group-b-all,仅可读取目录) 共享文件夹 团队 A2 (group-a2,完全权限) 文件 [修复程序 (group-a1)]
因此,如果团队 A1 属于该团队(组),则他们将共享所有文件并共享项目 A 文件夹,但仅具有读取权限
否则,如果项目 A 下有 2 个组的子文件夹,管理起来会稍微麻烦一些。