因此,我在运行 ESXi 6 的服务器上配置了一个全新的虚拟机,并安装了 Windows Server 2012。我添加了 Active Directory 和 DNS 角色。我还创建了一个共享文件夹,但似乎无法使用网络中的另一台计算机访问它。似乎如果我删除共享权限中的 Everyone 组并添加另一个组(例如管理员),我根本无法使用管理员帐户访问它。出于某种原因,如果我删除 Everyone 组,我根本无法访问共享文件夹,但如果我重新添加,我就可以访问共享文件夹。我不希望每个人都能访问,只有域管理员才应该有访问权限。但我似乎无法弄清楚为什么它不起作用。有什么想法吗?
答案1
首先,我要说的是,Windows 中的共享文件夹有两种权限类型,当有人访问共享资源时检查的安全表会考虑这两种权限类型。
然后让我们理清Windows中的权限类型:
首先,您有“共享权限” - 通过(例如)右键单击托管它的服务器上的共享文件夹 -> 属性 -> 共享 -> 高级共享 -> 权限来访问。默认情况下,您在这里拥有 Everyone 组。最佳做法是删除 Everyone 组并添加具有完全控制权限的经过身份验证的用户(我将在下面说明原因)。
第二,您拥有“ntfs 权限” - 通过(例如)右键单击托管它的服务器上的共享文件夹 -> 属性 -> 安全来访问。由于最终的安全策略考虑了两种权限类型,因此您只需在此处控制对文件夹的访问 - 您通过整个组织设置共享权限,以授予您域中所有经过身份验证的用户对资源的访问权限,并通过 ntfs 权限设置“实际”安全性 - 例如,仅向域管理员添加访问权限。
默认情况下,Windows 仅允许具有相应权限的用户访问文件夹 - 这意味着您无需使用“拒绝”权限来拒绝某人访问文件夹,如果您未明确授予他们访问文件夹的权限,他们就无权访问。因此,要确保只有域管理员可以访问该特定文件夹,只需为 auth. 用户设置完全控制共享权限,通过 ntfs 权限将完全控制权添加到域管理员组即可。
PS - 再次最好的建议(如果您这样做通常会更容易:))是每个共享文件夹设置 3 个域本地组,并为它们分配该文件夹的以下 ntfs 权限 - 完全控制、写入/修改、只读,并简单地将用户/组添加到相应的访问组 - 这样,审核对文件夹的访问就容易得多,并且查看用户可以使用什么权限访问哪些文件夹。
答案2
我在这里补充一点。上述答案中的所有内容都是正确的,但还要确保在您的 GPO 中,当您指定漫游配置文件路径时使用共享路径,而不是逻辑路径。例如,应该使用 而不是\\servername\d$\sharefolder。\\servername\sharename否则它将不起作用。
答案3
按照您提供的说明操作后,我还是没有成功,但我决定进行所有更新,即使是可选更新也可能是纯粹的运气或运气好(可能是所有因素的组合),但是这样做之后,我的最后更新如下安装了 Kb3121461 质量汇总,适用于 .Netframework 3.5、4.5.2、4.6、4.6.1 ... .Net framework 4.7 kb3102429 kb3084905 kb 3012429 本质上进行了所有更新,然后就好了!现在工作正常...这是我的解决方法