网络共享的共享权限和安全权限如何配合?

网络共享的共享权限和安全权限如何配合?

背景

过去几周,我一直在尝试修改我们公司的 Active Directory 和用户组设置。但是,由于缺乏适当的文档,在进行更改后,意想不到的副作用开始出现。

我遇到的最后一个问题是关于网络共享。

由于这家公司有几代 IT 人员,他们每个人都对 Active Directory 进行了更改,但没有人做过文档记录。因此,Active Directory 和 GPO 已经发展到混乱的地步。我决定理清这个烂摊子,并开始着手解决它。

基础设施

有一个域控制器和一个终端服务器。我们使用终端服务。用户通过远程桌面连接连接到终端服务器并在那里完成大部分工作。

用户可以访问域控制器共享的一些网络共享。

问题

我将通过示例说明该问题:用户A是组的成员。我从组中X删除。然后用户将无法访问网络中共享的文件夹。AX

我检查了Properties这个文件夹。

  • Sharingtab --> Advanced Sharing--> Permissions:包括组EveryoneAdministrators[1]
  • Securitytab --> 在Groups or Username部分下,列出了SYSTEMAdministrators和 组。[2]X

那么,为什么当我A从组中删除用户时XA无法访问此共享文件夹。用户不被A视为用户组的一部分吗?他不应该通过组Everyone拥有所有权限吗?Everyone

概括一下我的问题。Sharing Permissions和如何Security Permissions相互合作? 它们之间有什么依赖关系。

基本上,这是否意味着当我想与某一组用户共享一个文件夹时,该组必须同时在Shared Permissions [1]和中列出Security Permissions [2]

答案1

共享权限和 NTFS 安全权限是分层的。用户必须拥有每一层的访问权限才能访问共享。

共享权限是一个传统概念,因此大多数管理员将其设置为“所有人”,并在 NTFS 级别 100% 处理访问控制。这似乎就是这里发生的情况。您所描述的是预期行为。

以下技术文章对此进行了解释:共享和 NTFS 权限

相关内容