我们是一所小型大学,我有一个运动队文件共享,我想将其移交给教练。我们没有在 Active Directory 中跟踪或为运动队成员设置群组,教练想将某些人从某些子文件夹中排除,因此我希望教练能够直接在文件夹的安全选项卡中自行添加/删除其团队的帐户。他了解足够多的信息,并且技术娴熟,能够处理此事。
我不希望他能够添加/删除任何管理组或特殊帐户:系统、网络服务(该文件夹用于 Web 应用程序)、域管理员、AthleticDeptAdmin 等。
我是否可以授予他更改某些安全选项的权限,但不授予他删除其他权限的权限?
答案1
这很简单。例如:创建一个名为“Soccer”的子文件夹并创建一个匹配组。然后委托体育界的某个人将用户添加或删除到 Soccer 安全组。只要 Soccer 组对 Soccer 文件夹的 NTFS ACL 具有足够的访问权限,他们就根本不需要触碰文件权限。
足球组中的人员将能够看到足球子文件夹。
答案2
简短的回答是“不”。如果用户可以更改某些权限,他们就可以更改所有权限。但是,如果您一开始就信任该人编辑权限,难道您不能相信他们不会通过删除重要部分来搞砸事情吗?或者更好的是,您信任他们直到他们搞砸为止。然后重新评估情况。
解决此问题的唯一技术方法是提供某种用于更改权限的前端。前端具有更改权限的“真正”访问权限,但只允许用户更改应可编辑的权限。对于这样的事情来说,这太过分了,但理论上是可行的。
*编辑:我应该指出,即使他们确实从文件夹中删除了域管理员权限,也并不意味着您永远失去了访问权限。这只意味着您的应用程序已损坏,直到有人意识到发生了什么并重新建立正确的权限。作为域管理员,您始终能够重置文件夹的所有权并重新添加权限。
答案3
不。
如果您有更改权限的权限,您可以更改权限,包括管理员和特殊账户的权限。
另一种可能对您有用的方法是将文件夹设置为从父文件夹继承权限,而他无法更改父文件夹的权限。定义您不希望他能够更改的权限,并将这些权限向下传播。当然,他可以禁用可继承的权限并删除这些权限,但您对此无能为力……除了告诉他不要这样做,并警告他如果他这样做,您将撤销他的权限更改访问权限,并从此应用您认为合适的权限。
(我发现这种方法非常有效 - “这是你的访问权限,不要用它做任何事,或者乱搞它,因为如果你这么做了,我会把它撤走,你会发现自己要受到我的日程安排、突发奇想和一般恶意的影响。”)
编辑:我实际上有另一个想法,因为我被分配了一个管理员SDHolder问题。您可以编写一个脚本,定期(例如每小时)检查该目录树的权限,必要时夺取所有权,然后重新应用您想要/需要的权限以及教练想要的权限。
老实说,对我来说,这似乎比它本身更麻烦,因为警告/威胁用户不要犯傻要容易得多,但 YMMV。现在我想起来,这也可能是我环境中一个问题的解决方案……所以谢谢你的提问并让我想到了这一点。
答案4
为体育部设置一个组,并赋予其必要的权限(或者,如果您想要支持不同的权限配置文件,例如只读、读写等,则可能要设置多个组)。然后在 Active Directory 中委派该组的控制权,以便教练可以从该组中添加/删除用户。
在 Google 上查找有关在 AD 中委派组控制的第一个结果: http://codeidol.com/active-directory/active-directory/Groups/Delegating-Control-for-Managing-Membership-of-a-Group/
编辑:我想明确地表明,您正在专门为授予权限而创建组,因此您不想使用任何现有的体育部门组。