我想知道以下是否可行以及如何在 Windows Server 2012R2 上运行的 AD 结构中应用它。
我使用安全组应用文件夹访问权限。示例 = 代理文件夹只能由代理安全组的成员查看。代理文件夹中有许多与各个代理名称相对应的子文件夹。为了避免将个人帐户添加到文件夹中,我想将代理安全组添加到各个文件夹,但只允许文件夹的指定代理(安全组成员)访问和查看,不包括安全组的所有其他成员。这可能吗?或者这比仅仅添加个人还要复杂。任何意见都将不胜感激,即使是简单的否定,这是不可能的,非常感谢
答案1
为了避免将个人帐户添加到文件夹中,我想将代理安全组添加到个人文件夹中,但只允许文件夹的指定代理(安全组成员)访问和查看,而排除安全组的所有其他成员。这可能吗?
不,不是。至少不是您提议的那样。您不能同时允许和拒绝安全组对文件夹的访问,同时向该安全组的特定成员授予允许权限,而无需将该特定用户添加到具有适当权限的文件夹的 ACL。您可以做的是向代理安全组授予对父文件夹的适当权限,然后向各个代理授予对其自己文件夹的适当权限。这与向“全局”组授予对父文件夹的适当权限并向各个用户授予对其父文件夹中的“个人”文件夹的适当权限没有什么不同,这是一种非常常见且广泛使用的方法。