- 我需要为两个人设置文件夹的权限。
- 我不是服务器的管理员,但我有权授予和删除文件夹的权限。
- 除了这两个用户之外,甚至服务器管理员也无权访问该文件夹。
- 以下用户是该文件夹的默认用户,或者至少在我检查该文件夹的权限与其他文件夹相同时存在:
- 已认证用户
- 系统
- 管理员(主机名\管理员)
- 用户(主机名\用户)
- 我的用户名(域\我的用户名)
我需要为上面未列出的用户设置权限,并且只有他们才有权访问该文件夹,但是,删除上面列出的用户是否会安全,而不会在将来创建备份或授予和删除权限时造成影响?
答案1
我不是服务器的管理员,但我有权授予和删除文件夹的权限。
这是管理员方面的错误设置。非管理员不应拥有对文件夹和文件的完全控制权。
除了这两个用户之外,甚至服务器管理员都无权访问该文件夹
这是不可能的。如果管理员拥有服务器的管理权限(管理员的定义),那么他们可以轻松地再次授予自己对该文件夹的权限。
尽管如此,您可以添加 2 个具有完全控制权的帐户(因为您说您希望它们将来能够添加/删除权限),并且可以从技术上删除所有内容,包括系统权限。保留系统权限不会有什么坏处,但保留系统权限也不是必须的。
备份应使用备份操作员组中的帐户进行,该帐户从技术上讲不需要文件夹的权限,因为它可以在备份期间绕过安全性。有些备份程序要求运行它的帐户是管理员或甚至是域管理员。但只要运行备份的帐户是备份操作员的一部分,它就应该运行良好。
但是,我仍然坚持这样一个事实:如果另一个帐户在该服务器上拥有管理权限,他们将能够取得所有权并应用新权限,包括授予自己访问权限。如果此文件夹确实需要“安全”,则您必须超越 NTFS 权限来保护它。
答案2
首先,确保 domain\myusername 对该文件夹及其内容具有完全控制权。
您可以安全删除管理员(主机名\管理员)和 用户(主机名\用户)只要这些组中没有需要访问该文件夹的本地用户帐户(这些帐户对于服务或应用程序可能是必需的,例如备份软件或数据库)。如果存在这样的用户帐户,则应在从文件夹中删除组权限之前为这些用户分配明确的权限。
不要删除 SYSTEM 的权限。