我在使用 Win 2016 Server 时遇到了问题。有一个文件夹,AD 组的所有用户都可以访问。里面有一个文件夹,但并非所有用户都可以访问。
我在我的 AD 中设置了以下组:
- A组(全球、安全)
- 包括用户 U1-U5
- B组(全球、安全)
- 仅包括用户 U1-U3
现在进入文件夹:
- 文件夹上方
- GroupA 被允许:更改、读取(执行)、显示内容、读取、写入
- 文件夹内部(位于里面文件夹上方)
- A组显然可以在这里做同样的事情
- B组设置为拒绝(FullAccess)
但用户B组仍然可以访问该文件夹。知道为什么会这样吗?这些用户同时在A组和B组。一个允许访问,一个拒绝访问,我以为拒绝>访问,所以我不明白为什么仍然可以访问。
当我将用户设置为单独拒绝时,他们不再被允许进入,但拒绝每个用户很麻烦,因此与设置为拒绝的组一起工作会很理想。
问候
答案1
用户必须从他们的工作站注销并重新登录,组成员身份才能生效,因为组成员身份是从登录时获取的 Kerberos 令牌中检索的。