目前,我正在使用 Windows Server 2012 Active Directory 处理网络上文件的权限,如下所示:我设置了一个域控制器,在域控制器上创建用户和组。之后,我选择一个要共享的文件夹,并在共享选项中添加具有读/写访问权限的所有人(我这样做是因为我被告知做不同的事情会带来问题)。
然后在子文件夹上,为了限制访问,我进入文件夹属性的安全选项卡,并添加我想拒绝访问和拒绝读/写权限的组。
这很好,但是我发现这不是一个好方法。事实上,如果不断添加组,并且一个文件夹仅供一组,我总是需要添加新的组并拒绝它们的访问。
这种情况可能发生在以下现实场景中:一家公司有多个项目文件夹,每个项目都有特定的员工子集负责。因此,他们为每个项目创建一个组,然后在项目的文件夹中只有该项目的组才有权访问。如果添加了新项目,则需要在每个项目文件夹上添加新组,这可能会很繁琐。
那么,如何才能更有效地拒绝对文件和文件夹的访问,而无需在添加新组时编辑安全选项?
答案1
为什么要使用拒绝 ACE?您应该执行以下操作:
Root of the share (Authenticated Users - Read - This Folder Only)
|
|
----Subfolder1 (Subfolder1 Users - Read/Write - This folder and Subfolders)
|
|
----Subfolder2 (Subfolder2 Users - Read/Write - This folder and Subfolders)
等等。您不应该经常使用拒绝 ACE。在过去 10 年中,我记得我曾经在 NTFS ACL 上使用过拒绝 ACE 大概有 3 次。