smo*_*oak 1 active-directory file-sharing network-share
这一直困扰着我。我正在将未加入我们域的独立文件服务器转换为使用 AD Groups\Users 进行文件共享。此文件服务器用于使用本地计算机帐户获取共享权限。我已经将文件服务器加入域,所以现在我想用 AD 中的正确权限替换共享权限。
也许我需要向我解释这一点,但由于某种原因我无法让它工作。例如,我有一个共享文件夹:
\\fileserver\jsmith
在此文件夹上设置了共享权限,以便 AD 用户 John Smith 具有完全控制权。NTFS 权限(这就是安全选项卡中的内容,对吗?)设置为:
FILESERVER\Adminstrators -- 完全控制
CREATOR OWNER -- 特殊权限被选中并变灰
SYSTEM -- 完全控制虽然它是灰色的(以及允许列中的其他复选框)
FILESERVER\Users -- 读取和执行,列出文件夹内容和读取(全部变灰)
根据我的理解(也许我错了),用户 John Smith 应该能够访问\\filserver\jsmith并能够打开那里的任何文件和文件夹以及创建文件和文件夹。
然而,这种情况并非如此。尝试访问此共享时,John Smith 收到“访问被拒绝”消息。
编辑:澄清一下,当 John Smith 在\\fileserver\jsmithWindows 资源管理器中输入共享 ( )的 UNC 路径并按 Enter 键时,他会收到拒绝访问的消息。
也许我不明白这整件事。那么,完成我想要的“正确”方法是什么:AD 用户或组对共享文件夹具有读写访问权限。
“DOMAIN\JSmith”用户在尝试访问共享时不应该得到“访问被拒绝”,但在尝试创建或修改在那里托管的文件时应该得到“访问被拒绝”。您能否澄清“John Smith 在尝试访问此共享时收到拒绝访问消息”的含义。考虑到我之前的声明?
通常,“共享权限”应始终设置为“所有人/完全控制”。在人们可能会共享托管在非 NTFS 卷上的文件夹的时代,它们是大脑受损的错误功能。(有人想争论吗?嘿嘿...)
“共享权限”由“服务器”服务强制执行。如果用户能够通过其他方法访问文件(文件系统中更高的“共享”具有不同的“共享权限”,通过 IIS 使用其他协议导出的文件等),则“共享权限”将不适用。在 NTFS 权限中指定您的权限,然后无论用户如何访问文件,NTFS 驱动程序都会强制执行所需的权限。
出于学术目的,我将解释“共享权限”的工作原理(但我仍然鼓励您始终将它们设置为“所有人/完全控制”):“服务器”服务(通过SMB 协议)验证底层 NTFS 是否允许用户尝试访问(读取、写入等),然后根据“共享权限”检查用户尝试访问。如果任一权限不允许所需的访问,则访问尝试失败。在“共享权限”中使用“完全控制”权限设置“DOMAIN\JSmith”不会更改底层 NTFS 权限。在文件系统级别,“DOMAIN\Domain Users”组的成员“DOMAIN\JSmith”具有读取、执行、
除了专门为该用户创建的文件夹(例如漫游用户配置文件文件夹或主目录)之外,您永远不应在权限中命名单个用户。由于此共享名为“JSmith”,因此我猜测它是一个主目录。添加带有“修改”或“完全控制”的“DOMAIN\JSmith”(取决于您是否希望 JSmith 能够修改文件夹和子文件夹的权限——“完全控制”会给他这样的权利)文件夹的 ACL,您应该很高兴。
如果共享文件夹用于其他目的(即用于“工作角色”或在用户之间共享),应用权限的正确方法(tm)是创建一个描述与访问相关的角色的组(例如,“ Purchasing Department”),授予该组资源的 NTFS 文件夹权限(例如“修改”),并将适当的用户放入该组。
当工作角色发生变化或发生变动时,您只需将“新人”放入适当的组中,即可确保他们获得资源。如果您在权限中指定了单个用户,那么确保新用户访问权限的唯一方法是访问每个资源并添加新权限(如果工作角色发生变化,可能会删除旧权限)。如果您没有保存有关在何处将各种权限应用于单个用户的良好文档,那么您将永远无法创建与现有用户具有“相同权限”的新用户,而无需对所有资源进行大量调查。
即使一个组将只有一个成员,无论如何都要创建一个组。稍后当您必须将其他人分配到该组时,您会感谢自己。
编辑:
访问控制列表 (ACL) 是应用于资源的访问控制条目 (ACE) 列表。ACL 是您在“属性”表的“安全”选项卡和“高级”对话框中看到的内容。ACL 的每一行都是一个 ACE。(我想我会把“ACE”带进去,以防万一你在某个地方的文档中看到它并想知道它是什么意思......)
您会在“安全”选项卡和“高级”对话框中看到相同的内容,只是呈现方式不同(“高级”对话框中有更多详细信息)。
我遇到了麻烦,为什么您在访问共享时可能会看到“拒绝访问”,正如您所描述的。JSmith 使用他的域帐户登录到他的客户端计算机,并且 FILESERVER 计算机加入域,您应该不会收到“拒绝访问”的消息。您确定 JSmith 是在客户端计算机上使用他的域帐户登录的吗?
| 归档时间: |
|
| 查看次数: |
371 次 |
| 最近记录: |