我记得有一个可以轻松管理 Windows 共享的工具。但我对它一点印象都没有。
我的情况主要使用配置,但在 Windows 中很难管理共享的用户权限。
假设我有以下结构和两个用户。
Dropbox
- 文件夹 A
- 文件夹 B
- 文件夹 C
- 民众
用户 A 应该能够编辑文件夹 A 和 C 内的所有内容。但不应该查看和访问文件夹 B,也不应能够删除文件夹 A 和 C。
用户 B 应该对文件夹 B 具有相同的访问权限,并且不应该看到 A 和 C。
公共文件夹应该对所有人开放,即使是新创建的用户。
Dropbox 文件夹自动同步到网络。
当我在文件夹属性>安全>高级窗口下实现权限时,Windows 变得非常混乱。我无法理解继承并应用于子对象检查。
如果我在共享>共享窗口下向用户授予访问权限,这很简单,但如果用户有权访问,他就可以删除根文件夹。
答案1
通常,您需要在 NTFS 级别应用限制。尽可能开放共享权限(即至少允许“经过身份验证的用户”或“所有人”修改访问权限),然后使用 NTFS 安全权限将其确定下来。
我建议为每个共享创建三个安全组(读取、修改和写入),然后将这些权限分配给文件夹。然后,将用户和组添加到这些组中以应用权限。这样就省去了每次用户更改角色时编辑文件夹权限的麻烦。
如果您想隐藏用户无法看到的文件夹,则需要启用“基于访问的枚举”,因此在您的情况下我会:
- 创建一个名为“Dropbox”的共享并应用“所有人”写入权限
- 创建相关文件夹,每个文件夹有 3 个安全组(读取、写入和修改),如果您想简化,可以只创建两个(读取和写入)。
- 将组分配给文件夹并授予其所述权限
- 转到文件服务器上的“服务器管理器”,然后“文件和存储服务-->共享-->右键单击共享-->属性-->设置-->启用基于访问的枚举”
ABE 的作用是隐藏用户至少没有“读取/列出”访问权限的任何资源。
编辑:
只是一个想法,但在根文件夹级别应用写入或修改权限(即示例中的公共)也将允许用户修改父文件夹。因此,有人可能会意外地将“公共”重命名为其他名称。
为了解决这个问题,对于具有修改权限(即写入和修改)的组,将“读取、写入和执行”的单独权限设置为“仅限此文件夹”,然后具有“修改”权限“子文件夹和文件”,例如我们的部门驱动器具有以下内容:
因此您可以看到有三个 ACL,但只有两个组。
第一个是:
FS.dep.Full.Information Systems - 修改 - 子文件夹和文件
允许组内的所有成员创建和结束当前文件夹下的所有对象。
第二是:
FS.dep.Full.Information Systems - 读取并执行 - 仅限此文件夹
这允许该组仅读取父文件夹(信息系统)但不能对其进行任何更改。
然后:
FS.dep.Read.Information Systems - 修改 - 此文件夹、子文件夹和文件
这只是授予组中所有内容和每个人的读取权限。