我有几个Windows 2008 企业版服务器SP2在域环境中。下面是我试图实现的场景以及我遇到的问题。
我已经创造了某些安全 - 全球组并相应地添加了成员。之后,我创建了一个名为“部门“然后是一些子文件夹,例如IT、金融、企业... ETC。
我最初所做的只是与读允许域用户因为我只需要域认证用户查看/访问目录。但是,我还做了一件事,我手动将每个子文件夹添加到相应的组中,删除继承。现在,当我这样做时,所有域用户都可以看到/访问根目录以及属于他们部门的子目录(例如,财务用户只能查看/查看财务文件夹,其余文件夹对用户视图隐藏)。
但是,无论访问权限如何,他们都无法写入目录。当我返回并给出贡献访问域用户组,那么用户就可以写入子目录。
我知道这会起作用,因为其他文件夹对他们不可见,但我需要的是,是否有办法通过仅授予对根目录的读取权限然后根据需要授予对子目录的读取权限来解决这个问题?这可能吗,还是我做错了?
答案1
您已授予所有人对共享的读取权限。无论您的 NTFS 权限如何,他们都只能执行此操作。共享和 NTFS 权限协同工作,以确定用户通过网络访问资源时的访问级别,最严格的组合将获胜。
您可能应该将共享权限设置为完全控制,并使用 NTFS 权限控制访问。大多数情况下都是这样做的。
答案2
如果您通过网络访问共享,则共享权限具有优先权。
如果您访问服务器本身上的文件,则 NTFS 权限优先。
例如,如果您授予每个人对共享的读取权限,并授予 IT 组对 IT 子文件夹的修改权限,则 IT 组中的每个人将只能读取“\\share\IT”,因为共享的权限更加严格(只读)。
如果 IT 组中的某个人登录服务器并访问该文件夹,他们将能够修改它。
但是,如果您授予“Everyone”组对共享的完全控制权,则您现在可以在 NTFS 级别限制访问。
例如,如果您授予 IT 组对 IT 子文件夹的完全控制权,那么他们将拥有完全控制权。其他用户将不具有完全控制权,除非您在 NTFS 级别授予他们该访问权限。
共享权限为共享。
这就是为什么通常的做法是给予“每个人”完全控制权在股份层面然后仅应用需要 NTFS 级别访问的用户和组。