Windows Server 2016 标准...部门/组的用户在其部门文件夹中出现读取权限错误,授予他们对文件夹和子文件夹的完全控制权,然后他们出现写入权限错误(“您需要 ZPICTURES \admin-zp 的权限才能对此文件进行更改”),然后授予组中的每个用户对文件夹和子文件夹的完全控制权,但在尝试在其中的任何地方写入或修改时仍然收到相同的错误消息(“您需要来自...的权限”)。
我现在真的很困惑,因为这个配置适用于另一个组的文件夹(实际上,只是对组而不是所有用户拥有完全控制权)。我如何修复该组的权限配置,以便该组的用户拥有写权限?
答案1
- 当您更改权限时,用户需要注销并重新登录才能使更改生效。
- 我建议不要授予完全控制权。这允许用户更改权限并取得文件所有权。在共享方面,修改权限应该足以满足绝大多数用户的需求。
- 如果其他用户访问相同的文件,则文件可能会被锁定。
- 在 Windows 中,拒绝就是拒绝。如果用户拒绝任何组的任何内容或明确权限,则他们将被拒绝该权限。转到文件的安全 -> 高级 -> 有效权限,看看它会告诉您什么。
答案2
上面的 @JBaldridge 的回答中已经向您介绍了 NTFS 权限的主要概念,这些概念自 NTFS/Windows 服务器上的早期以来就没有太大变化。我只想补充几点:
- 注意您如何访问文件夹,本地访问还是通过网络访问。如果是后者,那么您必须考虑共享权限。您必须同时考虑共享和 NTFS 权限:当共享权限为只读时,在 NTFS 级别上具有写入权限将不允许您通过网络写入数据。将共享权限视为一个漏斗,只有当通过网络访问文件夹时,它才会发挥作用。
- 如果记住权限级别对您来说太麻烦,那么一个行之有效的方法是始终在共享级别向经过身份验证的用户授予完全控制权,并仅在 NTFS 级别定制您的权限 - 这会使管理员的工作变得轻松一些。如果只是在 Server 2016 中检查默认共享权限,默认情况下它会向所有人 + 管理员授予完全控制权。
- 值得重申:无论您添加多少授权/允许,明确的拒绝总是会胜利。
- 记住优先顺序,以了解有效的 NTFS 权限权限按此顺序进行评估,评估在第一次匹配时停止:1) 显式拒绝 2) 显式允许 3) 继承拒绝 4) 继承允许
最后但并非最不重要的是,使用有效访问来验证特定用户或组具有的访问级别。您可以在文件夹的高级安全设置中使用此功能,请参阅下面的图片演示此功能的用户界面(我想图片应该可以让您很好地了解您可以使用此功能做什么):
