在 AD 安全组控制之外创建的目录的 ACL 中的用户 ACE

在 AD 安全组控制之外创建的目录的 ACL 中的用户 ACE

我们使用 AD 中的安全组来控制对文件共享的访问。

\区

ZONE 组(读取和执行,仅限此文件夹)ZONE-写入组(修改,此文件夹、子文件夹和文件)

用户“rick.deckard”属于ZONE-Write安全组,因此对整个\ZONE文件夹具有修改访问权限。

如果 rick.deckard 创建了一个目录

\区域\BR1

“rick.deckard”ACE 进入 BR1 目录的 ACL,具有“完全控制,仅限此文件夹”的权限。

如果我们随后将“rick.deckard”从 ZONE-Write 安全组中删除,他就根本无法访问 ZONE 树。除非他直接映射到 \ZONE\BR1,然后他仍然拥有该目录的完全控制权!

即使通过安全组的访问权限被撤销后,ACL 中这些基于用户的 ACE 条目仍然会保留。

这是正常行为吗?

我们如何设置一种“仅安全组”方法来授予对 ZONE 目录的访问权限,从而在创建目录时不安装特定的用户 ACE?

任何帮助,将不胜感激。

相关内容