我正在使用 AD 配置文件选项卡在自动创建主目录\\server\home,以便自动创建权限。
在 ( ) 中创建主目录的实际文件夹的 NTFS 权限应该是什么\\server\home?
此外,由于我使用 NTFS 权限控制实际访问,因此共享权限始终为“所有人::完全访问”;这是正确的方法吗?
答案1
以下是我收藏的供参考的内容:
http://blogs.technet.com/b/migreene/archive/2008/03/24/3019467.aspx
- 创建者所有者 - 完全控制(仅适用于子文件夹和文件)
- 系统 - 完全控制(应用于:此文件夹、子文件夹和文件)
- 域管理员 - 完全控制(应用到:此文件夹、子文件夹和文件)
- 所有人 - 创建文件夹/附加数据(应用到:仅限此文件夹)
- 所有人 - 列出文件夹/读取数据(应用到:仅限此文件夹)
- 所有人 - 读取属性(应用于:仅限此文件夹)
- 所有人 - 遍历文件夹/执行文件(应用到:仅限此文件夹)
它还建议将共享权限设置为:
- 所有人 - 完全控制
答案2
此处记录有:
Administrators: Full Control
System: Full Control
Creator Owner: Full Control
Authenticated Users: Read & Execute, List Folder Contents, Read
并且您必须进一步编辑经过身份验证的用户的 ACE,以使其仅适用于此文件夹。
答案3
扩展@Dan 的回答......
同意创建者所有者,但我从不向用户授予 FC。这允许他们设置自己的 DACL,根据我的经验,当奇怪的高级用户(读作“痛苦”)删除 SYSTEM 权限时,这会带来很多麻烦,从而阻止您备份他们的文件。因此,通常将数据的用户限制为修改(用老式的说法是改变)。
系统:FC,是的。
域管理员:否。指定服务器的本地管理员组。
所有人 :为什么?我个人永远不会使用“所有人”,因为它包括未经身份验证的用户。
共享权限 - 同意。它们只会混淆访问查询。
答案4
我同意最好在 NTFS 级别而不是共享级别控制访问,但无论您是否授予他们完全控制权,用户始终能够对他们创建的文件设置权限,因为他们是所有者。
如果您想阻止他们更改他们所拥有的对象的权限,请将共享上的权限更改为(针对所有人)而不是“完全”。
那么您不妨在他们的自己的主目录上为他们提供完整(NTFS)权限,这样就能清楚地知道发生了什么。