使用集群配置中的 Server 2012 作为我们主文件服务器 (win2003) 的升级,我们在使用遍历文件夹权限和基于访问的枚举 (ABE) 时遇到了麻烦
当组权限设置正确时,ABE 在我们的环境中运行得非常好,但是我需要允许不在这些组中的个人用户访问结构深层的某些文件夹,并使用每个子文件夹上经过身份验证的用户的遍历文件夹权限(每个用户都被赋予目标文件夹的明确权限,然后将在他们的桌面上获得此路径的快捷方式等。)当 ABE 关闭时,我可以让遍历工作,一旦打开 ABE,遍历就会中断,客户端(win7)上的资源管理器无法枚举其中的文件夹或文件。
该服务器的设置方式与我们以前的 2003 文件服务器的设置方式相同,并且可以与 ABE 配合使用,并且遍历权限很好,有人可以解释如何在 2012 上同时使用 ABE 和遍历吗,或者建议任何资源或工具来查看,或者自 2003 年以来在 ABE 或遍历权限方面引入的任何差异吗?
答案1
答案是 ABE 破坏了 Traverse。关闭 ABE 后,如果成员服务器上的默认域和本地策略已到位,您可以授予某人结构深处的直接访问权限,而不必从上到下授予他们权限。(https://technet.microsoft.com/en-us/library/Cc739389%28v=WS.10%29.aspx)
但是,“当在共享上启用基于访问的枚举 (ABE) 时,即使启用了绕过遍历检查用户权限,shell (Explorer.exe) 也会强制执行遍历检查。用户仍然可以通过运行 dir 命令行来枚举目录内容。” - 来自https://support.microsoft.com/en-us/kb/3035058
让这个问题更加复杂的是,Windows 10 似乎并不尊重这一点。它可以直接浏览 Windows 2008 R2 服务器上的共享,而同一用户无法从 Windows 7 用户浏览到该共享。但是,我用于测试的两台机器所应用的策略可能存在一些差异,但我不这么认为。