拥有文件夹的域用户是否应该能够创建子文件夹(Windows Server 2008 R2)

拥有文件夹的域用户是否应该能够创建子文件夹(Windows Server 2008 R2)

在 Windows Sever 2008 R2 上部署我们的服务器应用程序时,我们使用本地管理员用户在“C:\Program Files”中创建一个文件夹,并将该文件夹的所有者更改为特定域用户的所有者。

当应用程序在该域用户下运行时,尝试创建子文件夹时会被拒绝访问。

我的假设是:

  1. 就 ACL 而言,域用户和本地用户作为文件夹的所有者之间几乎没有区别。
  2. 作为文件夹的所有者,他们拥有“创建者所有者”权限。
  3. 作为“创建者所有者”,他们拥有读取/写入文件夹的必要权限,而无需进行任何额外的 ACL 更改。
  4. 没有父文件夹(即“Program Files”)施加任何限制。毕竟,用户是所有者和“创建者所有者”。

由于域用户无法创建子文件夹,您能告诉我我的假设有什么错误吗?

答案1

“创建者所有者”是否对该文件夹具有修改权限?如果您查看该用户的有效权限,它是否具有修改权限?

更改文件夹所有者并不意味着您的所有假设都是正确的。请参见此处:

http://networkadminkb.com/KB/a80/creator-owner-explained.aspx

根据设计,对象的所有者只能配置如何设置权限以及向谁授予权限。默认情况下,所有者通常会通过其他组自动获得读取、写入或修改权限,但事实并非如此

和:

2) 如果对象的所有者发生变化,则该对象上的权限不会改变为新所有者。

基本上,您的应用很可能需要授予用户对该文件夹的额外权限,而他们仅仅作为所有者并不具备这些权限。

答案2

  1. 如果 User1 和 User2 都对文件夹拥有完全控制权,除非有任何其他 ACL 或 GPO 配置,否则您可以正确地假设他们具有相同的有效访问权限。但是,域用户和/或应用程序可能传递的凭据与文件夹权限配置不同。您可以转到http://live.sysinternals.com并下载 AccessEnum 和 ADInsight 以排除本地和域用户对象有效访问故障。如果应用程序因某种原因被黑盒化,我将首先在本地运行 ADInsight 以查看应用程序传递的凭据。

  2. 在本地上下文中,CREATOR OWNER 通常默认为 TrustedInstaller 或本地组。Bob 可能已在本地计算机上创建了 Accounting 文件夹,但 Bob 只能创建该文件夹,因为他是本地管理员。因此,所有者是 %hostname%\Administrators 组。尝试从域用户帐户远程调用该文件夹时,您需要指定“\remotecomptuer\bob'slocalusername”凭据。

  3. CREATOR OWNER 仅半静态地将权限分配给所有者。指定所有者后,分配不会更改为新所有者。有关更多信息,这可能会有所帮助:http://networkadminkb.com/KB/a80/creator-owner-explained.aspx

  4. 右键单击该文件夹,属性->安全->高级->取消选中“包括从此对象的父级继承的权限”->否/删除->应用/确定等。

相关内容