我们在 Windows Server 2022 上有一个网络共享,其中托管了大量“生产”文件和开发文件。我们有两个域 - 一个生产域(例如“prod.local”)和一个开发域(“dev.local”)。
一些文件夹已设置为“所有人”访问权限,并且虽然生产域和开发域之间存在信任关系,但开发用户对共享具有只读访问权限,这是预期的。
然而,我被要求以一种方式建立信任(dev 信任 prod,prod 不信任 dev),现在“所有人”权限不再起作用。
我已尝试实施建议的更改这里但是 a) 看起来这些是针对 Windows 10/11 的解决方案,并且 b) 它仍然不起作用(即开发用户仍然无法访问共享)。
如何在 Windows Server 上配置这样的共享以允许其他域访问?
答案1
您被要求将信任从双向配置为单向,以便 PROD 中的共享(以及 PROD 中的任何其他资源)仅供 PROD 访问,而开发人员无法访问。现在开发人员用户无法访问 PROD 中的共享。
这是预期的行为。
取消双向信任是正确的做法。这种信任根本不应该被建立。
如果您希望共享(或任何其他资源)可供开发域使用,则资源(共享)需要位于独立于不应从 dev 域访问 PROD 域。
附加信息:
2003 年,Everyone 安全主体被改为不再是“Everyone”。它在功能上与 Authenticated Users 安全主体相同。以前,Everyone 的功能类似于 Guest 帐户功能,后者通常被禁用。这意味着 Everyone 主体不包括 Anonymous。
总之,Windows需要用户必须进行身份验证才能访问共享等资源。没有匿名或来宾访问权限,并且“所有人”意味着仅限已从受信任域进行身份验证的用户。
PROD 域中的资源与您想要授予访问权限的主体之间的关系已被特别配置为禁止来自不受信任域的所有用户对所有资源(包括共享)的访问。
答案2
我觉得你误会了相信为了访问权限。
信任意味着您信任该域对用户进行身份验证,以便您可以将访问权限分配给该域的用户(除了您自己的用户)。
访问权限意味着用户可以读取或修改网络资源,也可以不读取或修改。为了分配权限,您首先需要有一个用户对象 - 它可以来自您信任的另一个域。通常,您将用户分组,然后为该组分配权限。在文件级别,您可以使用 ACL 来实现这一点。
如果没有信任,您就无法知道谁试图访问资源。
因此基本上,信任其他域,但不要为其用户分配任何您不想要的权限。