首先,如果我的某些术语不正确,我深感抱歉,因为我对 Windows 网络和 Active Directory 还很陌生。
我们正在运行 Windows Server 2008R2 文件服务器,我被委托重组我们的一个网络共享。默认情况下,共享可供所有经过身份验证的用户访问,但一些文件夹(例如\\share\manager_1)\\share\manager_2仅限于某些人(manager_1和manager_2)访问。我还希望那些无权访问这些文件夹的用户无法看到它们 - 基于访问的枚举在这方面发挥了奇效。到目前为止一切顺利。
现在,当管理员希望在自己的文件夹 ( ) 内创建子文件夹\\share\manager_1\sub_folder_1并与其他用户共享此文件夹时,就会出现问题。我们已授予管理员在管理员自己的文件夹中设置文件夹权限的能力,因此manager_1可以授予user_1访问权限\\share\manager_1\sub_folder_1,但是在这种情况下:
user_1无法向下导航到共享目录树,因为\\share\manager_1\sub_folder_1不会自动授予他们“列出文件夹”的权限\\share\manager_1- 因此基于访问的枚举会manager_1向他们隐藏该文件夹。即使具有“遍历文件夹”权限,user_1 也无法直接转到
\\share\manager_1\sub_folder_1UNC 路径,ABE 优先于“遍历文件夹”。
真的我想要一种方法来让 ABE 工作,但使用“列表文件夹”权限的“反向权限”传播- 这样在上述情况下,user_1能够深入目录树,sub_folder_1但无法看到manager_1文件夹的任何内容(显然是栏sub_folder_1本身)。
我花了好几个小时试图弄清楚如何做到这一点,我的理解是 Novell 的 Active Directory 等效项中有一项名为“动态继承”的功能可以做到这一点。我有什么办法可以在基于 Windows 的环境中实现这一点吗?
任何帮助都非常感谢。
答案1
我最近和你处于同样的境地,现在仍然如此。
您不仅需要列表文件夹权限。
你会需要
Travese Folder
List Folder
Read attributes
Read extended attributes
Read permissions
不幸的是,Windows 没有与 Novell 提供的功能相当的功能。
此外,由于某些原因,让用户管理权限不是一个好主意。
首先,这将是一场审计噩梦。你和你的经理都无法追踪并知道谁有权访问哪个目录。
其次,最终您的 IT/帮助台必须支持管理人员解决一些损坏的 ACL/ACE 问题。
在我们的组织中,我们通过 PowerShell 脚本为每个文件夹创建 3 个权限组,并将它们添加到文件夹 ACL。然后,我们将需要访问这些资源的用户添加到相应的 AD 组以授予访问权限。
也许以下链接(我关于同一主题的帖子)可以给你一些启发。