我注意到 Windows 似乎赋予了Authenticated Users从驱动器根目录传播的所有强大权限(修改)。假设您在根目录下创建一个文件夹,但不调整其权限。保留访问权限的后果是什么Authenticated Users?如果不了解 Windows 安全功能的最终用户直接在其驱动器的根目录下创建文件夹而不进行调整,会有什么风险?这方面的最佳实践是什么?
答案1
对于本地机器,也就是他们办公桌上的机器,这其实不算太糟。他们通常都是本地神。最大的例外是共享使用工作站,即多个人共享同一个工作站(例如接待员的办公桌,实际上有一群人轮流坐在那里)。这可能会带来一些问题。
至于服务器,这在很大程度上不是一个问题,因为设置了访问文件系统的共享权限。微软早就发布了指导方针,称你不会向经过身份验证的用户授予任何有意义的权限,因为共享权限而是使用实际的安全组。如果您将安全组设置为对共享具有 (M) 权限,则文件权限将从 AuthUser 获得,但安全组之外的经过身份验证的用户将无权访问。
最好是同时设置权限,但在文件系统上拥有自由的权限并在共享级别进行限制是一个有效的想法,即使不是那么好。