拥有文件夹的域用户是否应该能够创建子文件夹（Windows Server 2008 R2）

Question 1

“创建者所有者”是否对该文件夹具有修改权限？如果您查看该用户的有效权限，它是否具有修改权限？

更改文件夹所有者并不意味着您的所有假设都是正确的。请参见此处：

根据设计，对象的所有者只能配置如何设置权限以及向谁授予权限。默认情况下，所有者通常会通过其他组自动获得读取、写入或修改权限，但事实并非如此。

和：

2) 如果对象的所有者发生变化，则该对象上的权限不会改变为新所有者。

基本上，您的应用很可能需要授予用户对该文件夹的额外权限，而他们仅仅作为所有者并不具备这些权限。

Answer

“创建者所有者”是否对该文件夹具有修改权限？如果您查看该用户的有效权限，它是否具有修改权限？

更改文件夹所有者并不意味着您的所有假设都是正确的。请参见此处：

根据设计，对象的所有者只能配置如何设置权限以及向谁授予权限。默认情况下，所有者通常会通过其他组自动获得读取、写入或修改权限，但事实并非如此。

和：

2) 如果对象的所有者发生变化，则该对象上的权限不会改变为新所有者。

基本上，您的应用很可能需要授予用户对该文件夹的额外权限，而他们仅仅作为所有者并不具备这些权限。

Question 2

如果 User1 和 User2 都对文件夹拥有完全控制权，除非有任何其他 ACL 或 GPO 配置，否则您可以正确地假设他们具有相同的有效访问权限。但是，域用户和/或应用程序可能传递的凭据与文件夹权限配置不同。您可以转到http://live.sysinternals.com并下载 AccessEnum 和 ADInsight 以排除本地和域用户对象有效访问故障。如果应用程序因某种原因被黑盒化，我将首先在本地运行 ADInsight 以查看应用程序传递的凭据。
在本地上下文中，CREATOR OWNER 通常默认为 TrustedInstaller 或本地组。Bob 可能已在本地计算机上创建了 Accounting 文件夹，但 Bob 只能创建该文件夹，因为他是本地管理员。因此，所有者是 %hostname%\Administrators 组。尝试从域用户帐户远程调用该文件夹时，您需要指定“\remotecomptuer\bob'slocalusername”凭据。
CREATOR OWNER 仅半静态地将权限分配给所有者。指定所有者后，分配不会更改为新所有者。有关更多信息，这可能会有所帮助：http://networkadminkb.com/KB/a80/creator-owner-explained.aspx
右键单击该文件夹，属性->安全->高级->取消选中“包括从此对象的父级继承的权限”->否/删除->应用/确定等。

Answer

如果 User1 和 User2 都对文件夹拥有完全控制权，除非有任何其他 ACL 或 GPO 配置，否则您可以正确地假设他们具有相同的有效访问权限。但是，域用户和/或应用程序可能传递的凭据与文件夹权限配置不同。您可以转到http://live.sysinternals.com并下载 AccessEnum 和 ADInsight 以排除本地和域用户对象有效访问故障。如果应用程序因某种原因被黑盒化，我将首先在本地运行 ADInsight 以查看应用程序传递的凭据。
在本地上下文中，CREATOR OWNER 通常默认为 TrustedInstaller 或本地组。Bob 可能已在本地计算机上创建了 Accounting 文件夹，但 Bob 只能创建该文件夹，因为他是本地管理员。因此，所有者是 %hostname%\Administrators 组。尝试从域用户帐户远程调用该文件夹时，您需要指定“\remotecomptuer\bob'slocalusername”凭据。
CREATOR OWNER 仅半静态地将权限分配给所有者。指定所有者后，分配不会更改为新所有者。有关更多信息，这可能会有所帮助：http://networkadminkb.com/KB/a80/creator-owner-explained.aspx
右键单击该文件夹，属性->安全->高级->取消选中“包括从此对象的父级继承的权限”->否/删除->应用/确定等。

相关内容