这个问题可能在其他地方已经被问过了,但我找不到符合我们确切标准的问题。
我们有一个运行文件共享的 Windows Server 2016 Standard 系统。在其中一个共享中,我们有一个文件夹(在本例中,该共享称为“GeneralShare”,文件夹称为“ControlledFolder”)。我们希望将文件夹本身列在共享中,但不允许任何不属于 AD 中“ControlledFolderAccess”组的用户无权访问数据。因此,任何不属于“ControlledFolderAccess”组的用户都知道该文件夹存在,但无法查看其中的内容。(我们也有隐式访问规则,例如系统和本地管理员(以及域管理员)也拥有权限。)
我们试验了一组权限,调整了读/写/执行以及其间所有特殊权限的迭代,还试验了“拒绝”权限。但是,我们还没有找到能够正确涵盖这些规则的适当规则集。
有谁知道具体的我们需要设置什么规则来阻止用户进入目录但仍然看到该目录存在于共享本身中?
这是我们在测试目录中尝试复制的操作:
GeneralShare 权限:
允许规则:
- 域管理员:完全控制
- 本地系统管理员:完全控制
- 域用户:修改
- SYSTEM 用户:完全控制
拒绝规则:
- 没有任何
GeneralShare/ControlledFolder 规则:
(无继承)
允许规则:
- 域管理员:完全控制
- 本地系统管理员:完全控制
- ControlledFolderAccess:完全控制
据我了解,这些权限应该工作...我们是否在某个地方缺少拒绝规则,或者 Server 2016 的标准行为是否只是已更改(在具有其他共享的 2012R2 服务器上,这些相同的权限按预期工作,如果我们不是管理员且没有明确访问权限或不在 ControlledFolderAccess 组中,我们可以看到该文件夹但无法访问它...但在 2016 年,这些文件夹在设置了这些权限后就不会显示)
答案1
听起来好像在父共享上启用了基于访问的枚举,这会阻止用户查看他们无权访问的文件夹。如果您在父共享上禁用 ABE,则应该允许他们查看但不能访问相关文件夹。