我们使用 AD 中的安全组来控制对文件共享的访问。
\区
ZONE 组(读取和执行,仅限此文件夹)ZONE-写入组(修改,此文件夹、子文件夹和文件)
用户“rick.deckard”属于ZONE-Write安全组,因此对整个\ZONE文件夹具有修改访问权限。
如果 rick.deckard 创建了一个目录
\区域\BR1
“rick.deckard”ACE 进入 BR1 目录的 ACL,具有“完全控制,仅限此文件夹”的权限。
如果我们随后将“rick.deckard”从 ZONE-Write 安全组中删除,他就根本无法访问 ZONE 树。除非他直接映射到 \ZONE\BR1,然后他仍然拥有该目录的完全控制权!
即使通过安全组的访问权限被撤销后,ACL 中这些基于用户的 ACE 条目仍然会保留。
这是正常行为吗?
我们如何设置一种“仅安全组”方法来授予对 ZONE 目录的访问权限,从而在创建目录时不安装特定的用户 ACE?
任何帮助,将不胜感激。