如何在 Windows NTFS 共享上设置权限,以便用户(在 AD 组中)
1)如果他们知道文件的完整路径,就可以读取该共享上的任何文件
2)无法浏览/列出该共享上的任何文件夹
这个想法是使用文件路径作为文件的“访问令牌”。
答案1
绕过遍历检查用户权限允许用户访问路径中的文件,而他们在该路径中没有权限,除了他们有明确权限的文件/文件夹。默认情况下,Everyone 安全组被授予此权限。您需要做的就是授予用户对您希望他们访问的文件的权限。如果他们知道这些文件的完整路径,他们就可以直接访问这些文件。
答案2
这是最终对我有用的解决方案,在@joequerty 的帮助下为我指明了正确的方向:
假设有一个文件夹 sh 需要共享
1)共享文件夹 sh 对所有人“只读”(\\host\sh)
2)授予每个人对 sh 的读/执行权限,但仅适用于文件。
假设我们在 sh\a\b\c\f.txt 中有一个文件
3)仅提供给(直系父级)文件夹 c
所有人的读取/执行、读取和列出文件夹权限仅适用于此文件夹
现在 \\host\sh\a\b\c\f.txt 可供所有人访问
dir \\host\sh\a\b\c 将列出 f.txt
dir \\host\sh\a\b 及更高版本将无处可去