如何将单个用户(或几个用户)分配给共享子文件夹但限制其他用户使用?
我和公司在设置当前文件共享环境时遇到了问题,但我们不想尝试修复这些问题,而是打算在新平台上重建系统。这次我们想从头开始。
但是,我们遇到的问题是如何避免为单个用户分配访问文件夹的权限。我的理解是,您将用户分配给(安全)组,然后将该组添加到 NTFS 权限。但是,我们有许多文件夹,我们需要授予特定用户访问文件夹的权限,而不是该组中的用户。
如果我没有解释清楚,我深感抱歉。我会在回复中尽力解释清楚。
答案1
我的理解是,您将用户分配给一个(安全)组,然后将该组添加到 NTFS 权限。但是,我们有许多文件夹,我们需要授予特定用户访问该文件夹的权限,而不是该组中的用户。
这是一般规则,但如果您只需要向单个用户分配权限,您当然可以这样做。
另一个选项是创建一个安全组,将这个单独的用户帐户添加到该组并为该组分配权限。这样,如果您需要授予其他用户访问该文件夹的权限,您只需将他们添加到该组即可。
答案2
一般经验规则是,如果文件夹用于特定用户,即主驱动器文件夹或特定的机密扫描文档共享,则为单个用户设置权限。
如果该文件夹用于某个部门或程序/应用程序,则创建用于特定用途的安全组并将用户添加到该组并为该组分配权限。
当他们决定希望更多人拥有访问权限时,这种方法允许进行扩展,并且如果您将来需要进行维护或重新创建共享,管理人员可以直接了解谁应该拥有访问权限。
答案3
从 Linux 角度和通过 Samba 共享的角度来看,我将顶级共享设置为 770,并设置 setgid 位(因此创建的所有文件/目录都保留共享顶级组的所有者),并授予该foo组的访问权限。然后创建一个子目录,以相同的方式设置权限,但也将组所有权更改为需要访问受限区域或其他内容的用户独有的组foo-admins。这很好地映射到 Windows 中的安全组。
将权限分配给特定用户 Bob 时的问题是,当 Bob 退休/去世/中了乐透并雇用了替代者时,您必须追查 Bob 拥有的所有“特殊”东西并更改所有权/权限。
因此,从跨平台角度来看,应采用安全组模型,而不是超出其$HOME份额或同等水平的个人用户。这样可以更轻松地处理不可避免的人员变动。
答案4
我从这个帖子中学到的一件事是,在设置共享和权限时,我们不需要如此严格地遵守“规则”,但从长远来看,遵守最佳实践将为我们省去麻烦。答案是介于两者之间的。
我希望有办法看看其他公司如何处理这个问题,因为我确信我不是唯一遇到这个问题的人。
再次感谢大家的评论、建议和意见,尤其是没有让我觉得自己是个十足的傻瓜。非常感谢。