在 Windows 2012 和 2016 之间的某个时候,微软在 NTFS 权限中添加了一个条件功能,其中给定的 ACE 可以被限制为仅在有关用户或设备的某些声明为真时才适用。
当“权限条目”对话框的“高级”视图引用这些条件时,您可以选择的选项之一是用户是...的成员或者设备是...的成员。
有谁确切知道,当提到设备是...的成员,是指服务器设备(即文件或文件夹所在的设备)或客户设备(即最终用户尝试访问文件的设备)?
在下面设计的示例对话框中,它是否在说:
- 每个人具有文件夹的读取权限,只要他们从域计算机团体?
- 每个人只要该文件夹所在的文件服务器位于域计算机团体?
我可以看到这两种方法的用途,因此,无论哪种情况,我是否可以使用(或通过 GPO/中央访问策略定义)替代条件来推断其他意义...?
(另外:我认为这是指动态访问控制,但是我的 Google-fu 让我失望了,我不断获得有关 Azure AD 的信息,这不是我感兴趣的。)
答案1
设备指的是客户端设备。 https://social.technet.microsoft.com/wiki/contents/articles/14269.introducing-dynamic-access-control.aspx (章节“Windows 8 会员计算机”)