我有一个 Windows Server 2008 机箱,它用作域控制器、SQL/Exhange 服务器。该服务器也曾经是文件服务器,但是我已经管理了服务器的战斗管理。
目前,除了一些共享之外,几乎所有数据都在新服务器上。并且每台客户端计算机都已通过 GPO 重新映射。重新映射所有内容并确认新用户使用新服务器存储文件后,我通过右键单击 -> 安全 -> 拒绝删除了所有用户对驱动器的访问权限,以阻止人们访问旧数据。
驱动器的设置方式是共享父文件夹,而不是其中的文件夹,
例子。
parent folder
-> office
-> production
这意味着我不能仅仅共享驱动器。
然而,其中一台旧的 XP 机器设法逃避了 GPO 更新。因此仍然具有旧的映射。转到我的计算机并单击驱动器,正如预期的那样,访问被拒绝,因为每个人都无权在那里读/写。
该计算机的用户在其桌面上有一个文件夹的快捷方式,该文件夹位于现在无法访问的文件夹中。
但是当他们单击文件夹中的快捷方式时,它会打开,并允许完全控制,而不管权限如何。
发生了什么事?我是不是太笨了?我是不是错过了什么?
附言:我不是服务器专家,我只是在没有任何经验的情况下被赋予了这些任务。所以到目前为止我所做的一切可能都不是最佳的方式。
答案1
What's going on? am i just stupid? have i missed something?
这很可能是用户权限导致的Bypass Traverse Checking,每个域用户帐户都默认被授予该权限。绕过遍历检查允许用户遍历他们无权访问的目录结构,以访问他们有权限访问的目录。
听起来您限制了对父文件夹的访问,但没有限制对子文件夹的访问。