我之前问过下面的问题,并且得到了答复,我最近登录后才回过头来看,却发现所有答案都被删除了。我做错了什么吗?
“我似乎陷入了权限问题的怪圈。我们有一个文件服务器,每个人都有自己的用户共享和部门共享。一切运行良好。权限设置Modify
为部门或用户的个人共享。不是Full Control
。用户可以访问他们的文件夹,但显然无法在根级别添加其他文件夹,因为他们没有Full Control
。
我似乎无法理解的是,假设用户 A 在他们的个人共享中创建了一个名为XYZ
(所有用户都有自己的共享文件夹)的文件夹,然后转到权限,并user B
通过搜索 Active Directory 进行添加。
如果用户 B 需要访问该文件夹,他们会键入\\SERVER\User A\
(由于他们无权访问根文件夹,因此访问将被拒绝)。但是,如果用户 B 键入,\\SERVER\User A\XYZ
他们将被授予访问权限,因为用户 A 允许以 NTFS 权限级别访问该文件夹
我如何阻止用户在其共享中创建文件夹并简单地修改 NTFS 权限以添加另一个用户并让他们使用绝对路径进行访问?
这没有任何意义。
Windows Server 2008 R2 和 2008 功能级别域。初始共享由域管理员在服务器上创建,用户 A 是其计算机的本地管理员,用户 B 是标准用户
答案1
在上述场景中,“用户 A”不能除非访问控制列表 (ACL) 中的某些内容向“用户 A”授予“完全控制”权限,否则无法向文件夹添加权限\\SERVER\User A\XYZ
。更改权限是“完全控制”的一部分,只要“用户 A”具有“修改”权限,他们就不能设置权限。
作为客户端计算机的“管理员”不会授予“用户 A”在服务器计算机上的任何特殊权限。不过,这让我怀疑“用户 A”在“服务器”计算机上是否拥有比您想象的更多的权限。
我会调查“用户 A”对您在场景中描述的文件夹的“有效权限”。我强烈怀疑您会发现他们拥有“完全控制”权限。