我的问题很简单。为域中的单个用户分配文件\文件夹权限没问题。但是,如果我尝试将权限分配给我创建的自定义组,甚至是管理员和\或域管理员组,这些组中的用户仍然无法删除\修改文件夹中的任何文件。我真的开始为此烦恼了。任何帮助都将不胜感激。
谢谢!
答案1
如果问题仅发生在BUILTIN\Administrators或DOMAIN\Domain Admins上,则您可能遇到了 UAC,它不会为中等完整性和低完整性进程指定登录令牌上的内置管理员组(从技术上讲,它指定它们是仅拒绝的)。但是,UAC 不会影响自定义组。
要排除 UAC 的影响,请explorer.exe以管理员权限运行。请参阅超级用户请参阅如何执行此操作的示例。
除此之外,您的 ACL 可能存在一些问题。尝试使用 ICACLS 转储它,如 @PeterHandorf 所建议的那样,然后在此处发布结果。要查找的内容包括:
- 拒绝条目(优先于允许)
- 仅适用于容器/仅适用于对象
- 继承阻止容器(
Allow inheritable permissions from parent to propagate to this object未选中) - 共享权限
我强烈建议使用有效权限标签来排除任何拼写错误,但要小心,因为如果Apply To设置不正确,它可能会产生误导性的结果。
此外,根据文件的复制方式,它们可能带有不需要的 ACL。该Replace all existing inheritable permissions on all descendants with inheritable permissions from this object选项可能会有所帮助。