我们最近收到了一个新系统。这是一个标准的 Server 2008 和 Windows 7 服务器-客户端解决方案,但安全性有所加强。其中一项新的安全策略在我们管理员中引起了一点小骚动。
书面政策规定,当共享资源(文件或其他内容)时,我们现在必须在 NTFS 和共享上设置安全性。据我(和我的同事)所知,Microsoft 最佳实践是,您向所有人共享资源并赋予其完全访问权限,然后在资源本身上设置安全性。自 NT 4 以来,我们一直都是这样做的。
我们觉得这项新政策的制定者并不真正了解 Windows 权限的工作原理。有些人认为与所有人共享是一个重大的安全漏洞,尽管 NTFS 应该足够了。我们无法得到直接的答案,所以我在这里问。我们认为在 NTFS 级别设置的权限完全足够,这是否是错误的?
答案1
我们的政策规定,为 NTFS 设置的权限也必须在共享上设置
他们很困惑。NTFS 提供了一组扩展权限,而 SMB 共享则没有,因此不可能设置与 NTFS 权限相同的共享权限。例如“列出文件夹内容”。
http://technet.microsoft.com/en-us/library/cc753731.aspx (管理共享文件夹的权限)
默认情况下,Everyone 组不包含 Anonymous 组,因此应用于 Everyone 组的权限不会影响 Anonymous 组。
答案2
最近我不得不在 Windows 网络中创建用户共享,其想法基本上与共享相同,其中文件系统安全性定义用户是否可以读取它。
如果您想要特定用户共享权限,则需要为每个用户创建一个共享,共享权限仅适用于您应用它的文件夹或驱动器。如果您想将共享权限授予共享对象中的部分,则应该有类似以下内容:
\share{folder1}(她可以访问) \share{folder2}(他可以访问)但这只是普通的文件系统安全性,所以我认为你是对的