在 Windows Server 2016 机箱中硬盘驱动器 (我们称之为 E:) 正下方的文件夹上创建文件共享“Shares”。服务器是域“domain.com”的一部分。
共享权限 - 所有人:完全控制。NTFS
权限 - 保留默认权限
(意味着它具有系统、创建者所有者、管理员的条目。我还添加了域管理员,这与下面的内容无关。)
该共享的 2 个子文件夹,share1-添加了 NTFS 权限:[电子邮件保护](完全控制) share2-添加 NTFS 权限:[电子邮件保护](完全控制)。
user1 和 user2 是非特权用户。
我期望该设置是用户 1 可以查看、编辑、修改 share1 中的所有内容,但他无法查看或列出 share2 中的项目,更不用说编辑它们了。用户 2 也同样如此。
但是,确实发生了这样的事情:用户 1 和用户 2 都可以查看和读取共享 1 和共享 2 中的每个文件夹和文件。他们无法修改文件,但可以读取文件。但我从未为他们设置任何权限。我不希望他们读取文件,甚至无法枚举文件。如果我从“安全”窗口的“高级”选项卡运行“有效访问”,结果完全相同。它禁止修改但不禁止读取。
我注意到硬盘 E: 本身的默认权限包括本地用户的条目:
服务器名称\用户
并且它们具有读/写和列表等权限。并且它们继承到每个子文件夹,包括 share1 和 share2
当我直接在硬盘上将这些本地用户的权限更改为“仅限此文件夹”时,所有子文件夹都不再继承这些权限。
然后共享行为正如我预期的那样:
- 用户 1 可以查看/编辑共享 1 中的文件,但不能看到共享 2。
- 用户 2 可以查看/编辑共享 2 中的文件,但看不到共享 1。
经过这个冗长的介绍后,我的问题如下:
本地用户帐户怎么会以某种方式干扰特定域用户的权限?
就好像域用户被“映射”到本地用户组“servername\Users”,但这有意义吗?还是这里还有其他事情发生?
答案1
找到答案了。
事实上,在 Windows 10 中,默认情况下,只要计算机加入域,组“MyDomain\Domain Users”就会自动添加到本地用户组。
这是一个巨大的绊脚石——从安全角度来看,本地用户与域用户完全不同。
微软为何做出将两人标识出来的决定令人难以理解。