背景
过去几周,我一直在尝试修改我们公司的 Active Directory 和用户组设置。但是,由于缺乏适当的文档,在进行更改后,意想不到的副作用开始出现。
我遇到的最后一个问题是关于网络共享。
由于这家公司有几代 IT 人员,他们每个人都对 Active Directory 进行了更改,但没有人做过文档记录。因此,Active Directory 和 GPO 已经发展到混乱的地步。我决定理清这个烂摊子,并开始着手解决它。
基础设施
有一个域控制器和一个终端服务器。我们使用终端服务。用户通过远程桌面连接连接到终端服务器并在那里完成大部分工作。
用户可以访问域控制器共享的一些网络共享。
问题
我将通过示例说明该问题:用户A
是组的成员。我从组中X
删除。然后用户将无法访问网络中共享的文件夹。A
X
我检查了Properties
这个文件夹。
Sharing
tab -->Advanced Sharing
-->Permissions
:包括组Everyone
和Administrators
[1]Security
tab --> 在Groups or Username
部分下,列出了SYSTEM
、Administrators
和 组。[2]X
那么,为什么当我A
从组中删除用户时X
,A
无法访问此共享文件夹。用户不被A
视为用户组的一部分吗?他不应该通过组Everyone
拥有所有权限吗?Everyone
概括一下我的问题。Sharing Permissions
和如何Security Permissions
相互合作? 它们之间有什么依赖关系。
基本上,这是否意味着当我想与某一组用户共享一个文件夹时,该组必须同时在Shared Permissions [1]
和中列出Security Permissions [2]
?
答案1
共享权限和 NTFS 安全权限是分层的。用户必须拥有每一层的访问权限才能访问共享。
共享权限是一个传统概念,因此大多数管理员将其设置为“所有人”,并在 NTFS 级别 100% 处理访问控制。这似乎就是这里发生的情况。您所描述的是预期行为。
以下技术文章对此进行了解释:共享和 NTFS 权限