在我的 Windows 服务器上,我有一个名为“Data”的共享,内部数据是 3 个名为 1、2 和 3 的子文件夹。
NTFS权限如下
数据(AllStaff 组这里有修改,Admins 拥有完全控制权) -folder1(继承父权限) -folder2(AllStaff 权限已删除,添加 2 个非管理员用户具有修改权限) -folder3(继承父权限)
我的问题是每个人仍然可以读取和写入 folder2,即使查看 NTFS 权限,该文件夹没有从父级继承权限,并且只有 2 个用户应该具有访问权限(加上管理员),但每个人都可以访问它!
我决定重新开始并离开 AllStaff 组,并在 folder2 上具有修改权限,但选中每种类型的权限的“拒绝”框,我给了 2 个用户修改,现在应该有访问权限的 2 个用户无法进入,他们是 AllStaff 组的成员,所以我明白为什么会这样。
有人可以解释为什么我无法实现目标吗?基本上 2 个用户需要数据共享中的一个私人文件夹。
非常感谢斯科特
NTFS 不支持仅阻止某些继承的权限(这恰好是我希望从旧的 Netware 文件系统中看到的唯一功能——继承权限过滤器)。因此,您应该使用在高级别授予最少权限并在较低级别添加权限的方法来设计权限层次结构。
基本上,您正在设计一个颠倒的权限层次结构。
我会将“数据”共享的权限设置为:
然后,我会为每个特定的必要用途创建子文件夹,并将这些文件夹的权限授予需要访问权限的组。
这有一个很好的副作用,可以防止用户用他们自己的文件和目录填充“数据”共享的根文件夹。如果您还没有“文件堆”问题,并且您确实允许用户填充该根目录,那么您很快就会陷入如此混乱的境地。(我们有些客户花了很多钱,相对而言,清理凌乱的“公共驱动器”,因为他们没有从一个好的子文件夹/权限策略开始,并允许大量文件堆积多年。就像流沙一样-- 您会陷入困境,一旦用户拥有带有“链接”到“沼泽”的电子表格、“沼泽”中文件的快捷方式等,您就无法轻松脱身。)
此外,您永远不应在权限中命名单个用户,除非是完全特定于用户的目录(例如漫游配置文件文件夹、主目录等)。所有其他权限,即使它们是针对“几个人”的,也应该基于组。人员流动会发生,将来当您需要为替换员工提供与他们要替换的人员“相同的权利”时,您会很高兴您使用了群组。不必保留有关您可能设置的所有文件系统权限的文档(或者,更糟糕的是,必须手动浏览它),您只需将新用户放入与被替换人员相同的组中,并确保您已授予新 wuser 与被替换用户“相同的权限”。
NTFS 中的“拒绝”权限应该在您的脑海中敲响警钟。它很少用于精心设计的权限层次结构。通常,如果您发现自己需要使用“拒绝”,那么您可能已经逆向了设计。
应该避免阻塞权限继承,因为它限制了未来权限的灵活性。如果你打算这样做,你应该有一个很好的理由。
每次打破继承层次结构时,都会限制您在层次结构中添加更高级别的权限的能力,显然,该权限向下继承。
假设“老板”来找你说:“我希望‘高管’拥有对整个‘数据’共享的读取权限”。如果您在 20 个不同的地方阻止了继承,每个地方都需要添加一个 ACL 条目。将其与在层次结构顶部添加单个 ACL 条目进行比较(假设您从未在层次结构中的任何位置阻止继承)。
| 归档时间: |
|
| 查看次数: |
4400 次 |
| 最近记录: |