尝试在 Windows 2003 R2 实例上的 NTFS 卷上创建文件夹共享时遇到问题:
由于数据的敏感性,用于管理的帐户不应被允许访问文件夹本身或其中的文件。该访问权限仅限于数据所有者。
但是遗憾的是,我发现,至少需要“列出文件夹/读取数据”权限才能创建共享!
因此,为了实现我的目标,我必须
- 授予管理员帐户读取数据的权限或
- 授予用户帐户访问包含文件夹的权限以便能够创建共享。
或者我遗漏了第三个选项吗?
答案1
如果您正在谈论“真正的管理员”(例如:某个属于“管理员”组的人),那么您将很难做到这一点。
我认为您无法阻止管理员访问某些文件:即使配置 ACL 以拒绝访问,管理员始终可以更改 ACL 本身。
即使第二种方法(让用户自己创建子文件夹)也对“好奇”的管理员开放,因为同样,没有什么可以阻止真正的管理员读取/写入任何文件。
如果您谈论的是“共享管理员”但实际上不是机器范围的管理员,那么第二种方法可以起作用。