我们正在从 Novell Netware 迁移到 Windows 2K8 R2 基础设施(AD、文件服务器、打印服务器……等)
我的问题是关于 ACL 的。虽然 Netware 和 Windows 完全不同,但在搞砸一切之前,我想确保我的想法是正确的!
有一种场景:
F:
|
+-- DATA <= Shared as DATA with Access based enumeration
|
+-- Folder 1
+-- Team 1's Folder
+-- Team 2's Folder
...
在这种情况下,默认情况下,权限从 F: 继承到最深的文件夹。
我们想要的是:
- 管理员组拥有自上而下的完全控制权。
- 从 DATA 中,ABE 仅列出用户有权访问的文件夹。(例如:我在 Team 2 组中,我看到了 Team 2 的文件夹)。
据我了解,在 DATA 我删除了所有要继承的 NTFS ACL(例如用户组),确保保留管理员组和 SYSTEM 用户。
之后,向必须具有访问权限的组或用户授予每个文件夹的完全控制权(或任何所需的权限)。
我错了吗?我应该注意什么吗?
任何有助于我理解的帮助都将非常感激。
问候。
答案1
正确的。
我倾向于不是授予用户Full Control,因为我有太多权限弄乱了。所以我授予他们除Take Ownership和 之外的所有权限Change Permissions。
我可能会建议为您授予访问权限的每个文件夹设置两个组:一个用于只读访问权限,一个用于修改访问权限,因为根据我的经验,这种情况往往会经常出现,并且意外删除所有文件的人越少,我从备份中恢复的次数就越少。
答案2
我肯定会做的一件事是启用 ABE 适用的文件夹深度限制。如果没有此限制,可能会出现严重的性能问题。实际适当的限制只能由您决定,下面是深度为 3 的示例。这需要 srv2.sys 文件版本 6.1.7601.22055 或更高版本。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanServer\Parameters]
"ABELevel"=dword:00000003
更多信息:
启用 ABE 的 Windows Server 2008 R2 上的 CPU 使用率过高
http://support.microsoft.com/kb/2732618
[...]
上述密钥的值设置如下:
值 = 0:所有级别均启用 ABE(没有密钥的默认行为也是如此)
值 = 1:深度为 1 的 ABE 启用(\server\share)
值 = 2:深度为 2 的 ABE 启用(\server\share\folder)
多个级别亦如此。