我有两个域,PRIMARY 和 EXTERNAL。EXTERNAL 对 PRIMARY 具有单向传出信任,因此 PRIMARY 的用户可以在 EXTERNAL 中进行身份验证。两个域都具有在 Windows Server 2003 兼容级别运行的 Windows Server 2008 DC。PRIMARY 用户通常会被剥夺其在 EXTERNAL 中的身份验证权限(包括 PRIMARY 域管理员),但少数具有明确访问权限的用户会被授予身份验证权限。
EXTERNAL 域控制器有一个名为 Projects 的共享,每个人都可以完全访问该共享。然后使用 ACL 锁定该文件夹,只允许 EXTERNAL 的少数管理组访问。在此文件夹层次结构中往下几层,有一个文件夹,PRIMARY 中的用户 (TESTUSER) 被授予修改访问权限。此文件夹的 UNC 文件夹路径为\\EXTERNAL-DC\Projects\A\B\C\Target
。
当 PRIMARY\TESTUSER 登录到使用 Windows 7 的 PRIMARY 域映射计算机时,尝试直接转到该路径不起作用。(“[unc 路径][新行]指定的路径不存在。请检查路径,然后重试。”)但是,将具有与驱动器完全相同路径的文件夹映射有效,并且适用适当的权限(可以创建文件等)。
我该怎么做才能使 UNC 路径正常工作?是什么导致了差异?
答案1
我假设您将驱动器映射到整个路径。(例如“net use X:\....\Target”)?
UNC 不起作用,因为用户需要对 UNC 路径中的每个文件夹具有读取权限才能遍历该路径。
映射到端点不需要这个。(在这种情况下,不会评估父文件夹的访问权限。仅评估用户实际“看到”的文件夹。)
奇怪?是的,但这就是微软的设计方式。