我觉得我在这里忽略了一些显而易见的东西。或者只是犯了一个新手错误。
我有一个文件夹结构,如下例所示。文件夹A1和A2位于文件夹内A。文件夹B1,B2位于文件夹内A1,依此类推。
Folder A
|
|
|
|--------Folder A1
| |---------Folder B1
| |---------Folder B2
|--------Folder A2
| |---------Folder C1
| |---------Folder C2
我想在文件夹上创建一个组权限A,以防止用户在其中创建、删除或移动文件或文件夹(即他们不能移动或删除 A1 和 A2 等),但不会影响文件夹或中的任何A1内容A2。
A
我在文件夹组 A(我想要限制的文件夹组) 上创建了以下规则。
规则:
Name: Group A
Apply to: this folder and subfolders
Deny Create files / write data
Deny Create Folders / append data
Deny Delete subfolders and files
Deny Delete
Checkmarked: Apply these permissions to objects and/or containers within this container only.
规则:
Name: Group A
Apply to: This folder, subfolders and files
Allow everything but Full Control, Delete, change permissions, take ownership
NOT checkmarked: Apply these permissions to objects and/or containers within this container only.
我知道很多人反对使用Deny权限,因为它可以轻松覆盖所有其他权限。等等。但我不认为智能设置的Deny规则应该被忽略为非选项。
现在实际问题发生在文件夹等内部B1。B2
在B1、B2、C1等文件夹中,我可以删除文件夹/文件,并将文件夹移至其他文件夹内。但是,我无法创建文件夹或文件。我也无法将文件夹移入B1、B2等文件夹中(尽管我可以将它们移出)。
A1当我检查或中的文件夹的权限时,A2我没有发现任何问题。当我检查 上的权限时A1,我发现规则仅适用于此文件夹,而不适用于子文件夹。A2A
Microsoft 文章 (TechNet:选择应用权限的位置) 说当我勾选时,"Apply these permissions to objects and/or containers within this"规则应该仅适用于文件夹内的子文件夹A,而不适用于后续文件夹。
有任何想法吗?
编辑:注意:我尝试了多种方法,包括不使用Deny或任何类型的隐式规则。
答案1
您可能想要打破 A 处的权限继承并删除默认的用户 ACL(或者可能不,由您决定)。
在适用于“仅限此文件夹”A的组的文件夹上创建 ACL ,并将其设置为读取。A
A在组的文件夹中创建另一个A适用于“仅限子文件夹和文件”的 ACL,并将其设置为修改(或您想要的任何内容)。
这将使群组中的人A无法更改文件夹结构直接地低于 A,但可以修改较低级别的任何内容。
对于这一点:
当我检查 A1 或 A2 内文件夹的权限时,我没有发现任何问题。当我从 AI 检查 A1、A2 上的权限时,发现规则仅适用于此文件夹,而不适用于子文件夹。
听起来好像有人破坏了继承,并在整个子文件夹结构中传播了不同的 ACL。您应该修复此问题,以便 Folder 下的所有内容都A从 Folder 继承A。
此外,将来,在您的示例中使用与组相同的文件夹名称会使其他人难以理解:)