- 创建共享 D:\Shares\DATA_AUTH_TEST。确保 ABE 已启用,DOMAIN USERS 被授予读取权限。
- 在 D:\Shares\DATA_AUTH_TEST\USER1 中创建一个文件夹,禁用继承,并授予 AD 组“USER_1_group”完全控制权
- 在 D:\Shares\DATA_AUTH_TEST\USER2 中创建一个文件夹,禁用继承,并授予 AD 组“USER_2_group”完全控制权
整个域中的每个人,无论是否属于“USER_1_group”或“USER_2_group”成员资格,都可以看到 \DATA_AUTH_TEST\USER1 和 \DATA_AUTH_TEST\USER2。
- 授予域用户完全控制权
整个域中的每个人,无论是否属于“USER_1_group”或“USER_2_group”成员资格,都可以在 \DATA_AUTH_TEST\USER1 和 \DATA_AUTH_TEST\USER2 中编辑/创建文件和文件夹。
我以为 ABE 的全部目的是将单个共享中的文件夹的可见性/控制权限制为仅那些被授予这些文件夹权限的 ACL?感觉我忽略了一些显而易见的东西?Windows Server 2022 Datacenter
答案1
当您创建文件夹时,DATA_AUTH\USER1它会继承DATA_AUTH创建时的读取权限。禁用继承不会删除这些权限,它们是祖传的,这就是为什么USER_2_Group可以读取它们。您必须明确删除DOMAIN_USERS该文件夹的读取权限,或禁用文件夹中子文件夹的继承DATA_AUTH。
很可能是因为对子项的继承仍然处于启用状态,因为当设置该权限时,DATA_AUTH完全控制权限会传播到USER1和目录。USER2