当用户授予基于访问的枚举共享中的子文件夹访问权限时,自动将“列出文件夹”权限应用于父文件夹

当用户授予基于访问的枚举共享中的子文件夹访问权限时,自动将“列出文件夹”权限应用于父文件夹

首先,如果我的某些术语不正确,我深感抱歉,因为我对 Windows 网络和 Active Directory 还很陌生。

我们正在运行 Windows Server 2008R2 文件服务器,我被委托重组我们的一个网络共享。默认情况下,共享可供所有经过身份验证的用户访问,但一些文件夹(例如\\share\manager_1\\share\manager_2仅限于某些人(manager_1manager_2)访问。我还希望那些无权访问这些文件夹的用户无法看到它们 - 基于访问的枚举在这方面发挥了奇效。到目前为止一切顺利。

现在,当管理员希望在自己的文件夹 ( ) 内创建子文件夹\\share\manager_1\sub_folder_1并与其他用户共享此文件夹时,就会出现问题。我们已授予管理员在管理员自己的文件夹中设置文件夹权限的能力,因此manager_1可以授予user_1访问权限\\share\manager_1\sub_folder_1,但是在这种情况下:

  1. user_1无法向下导航到共享目录树,因为\\share\manager_1\sub_folder_1不会自动授予他们“列出文件夹”的权限\\share\manager_1- 因此基于访问的枚举会manager_1向他们隐藏该文件夹。

  2. 即使具有“遍历文件夹”权限,user_1 也无法直接转到\\share\manager_1\sub_folder_1UNC 路径,ABE 优先于“遍历文件夹”。

真的我想要一种方法来让 ABE 工作,但使用“列表文件夹”权限的“反向权限”传播- 这样在上述情况下,user_1能够深入目录树,sub_folder_1但无法看到manager_1文件夹的任何内容(显然是栏sub_folder_1本身)。

我花了好几个小时试图弄清楚如何做到这一点,我的理解是 Novell 的 Active Directory 等效项中有一项名为“动态继承”的功能可以做到这一点。我有什么办法可以在基于 Windows 的环境中实现这一点吗?

任何帮助都非常感谢。

答案1

我最近和你处于同样的境地,现在仍然如此。

您不仅需要列表文件夹权限。

你会需要

Travese Folder 

List Folder 

Read attributes 

Read extended attributes 

Read permissions 

看这里。

不幸的是,Windows 没有与 Novell 提供的功能相当的功能。

此外,由于某些原因,让用户管理权限不是一个好主意。

首先,这将是一场审计噩梦。你和你的经理都无法追踪并知道谁有权访问哪个目录。

其次,最终您的 IT/帮助台必须支持管理人员解决一些损坏的 ACL/ACE 问题。

在我们的组织中,我们通过 PowerShell 脚本为每个文件夹创建 3 个权限组,并将它们添加到文件夹 ACL。然后,我们将需要访问这些资源的用户添加到相应的 AD 组以授予访问权限。

也许以下链接(我关于同一主题的帖子)可以给你一些启发。

文件服务器和 ABE

相关内容