抱歉,标题太糟糕了。
所以我们遇到一个问题,我们的文件服务器上的权限设置如下:
D:\Data>cacls d:\data\mydocs\johnny.depp
d:\data\mydocs\Johnny.Depp
BUILTIN\Administrators:F
BUILTIN\Administrators:(OI)(CI)(IO)F
BUILTIN\Administrators:(ID)F
CREATOR OWNER:(OI)(CI)(IO)(ID)F
DOMAIN\FAccess:(OI)(CI)(ID)F
这是当创建用户并通过 ADUC 创建主驱动器时。
共享或父文件夹的 NTFS 权限上未指定管理员组,并且继承已关闭。如果我手动在共享上创建目录:
C:\Users\Faccess>cacls d:\data\mydocs\tom.hardy
d:\data\mydocs\Tom.Hardy DOMAIN\Faccess:(ID)F
CREATOR OWNER:(OI)(CI)(IO)(ID)F
DOMAIN\Faccess:(OI)(CI)(IO)(ID)F
这正是我所期望的。
那么,您知道为什么要添加管理员组吗?我唯一能想到的是 ADUC 正在添加它,但我看不到有关它使用什么权限来创建文件夹的任何文档,我猜它使用了创建用户的登录用户,但同样 - 不知道为什么会添加管理员权限。
任何帮助都很好
答案1
如果在将该 UNC 路径分配给用户帐户之前预先创建并设置目录的 ACL,则 ADUC 不会添加管理员组。对用户主驱动器路径的任何更改都会提示您(如下)为用户添加 ACL。
否则,它会创建目录并添加管理员组 ACL。有关 ADUC 行为,请参阅以下内容:https://support.microsoft.com/en-us/kb/817009
因此,Windows 2000 Active Directory 用户和计算机实用程序通过为管理员和主文件夹的所有者分配完全控制权限,自动为您定义新主文件夹的权限。
答案2
因为您在上级文件夹中有这些组,并且当 AD 创建主文件夹时,继承已打开。它不应该这样做。我遇到了同样的问题。