小编Cae*_*lan的帖子

我们正在为我们公司共享驱动器的权限添加许多新组。一些文件夹树可以包含数百万个文件和 TB 的数据。照原样，更改这些文件夹上的 ACL 可能需要几秒到几小时的时间，具体取决于当前树中的文件数量。

我们希望能够在工作日进行这些更改，但前提是安全。

几个问题，

• 如果更改其子级继承权限的文件夹的权限，如果在 ACL 更改期间在树中创建文件，是否会保持一致性？
• 假设您从不删除访问权限，只向 ACL 添加新组，是否需要对打开的文件采取任何额外措施？
• Set-ACL Powershell commandlet 的行为方式是否与“属性”>“安全性”>“高级”页面相同？

例如，如果有一个包含 20,000 个文件的树，并说更改所有 NTFS 权限需要 10 分钟...如果用户在此窗口期间在子文件夹中创建文件会发生什么？此文件的权限是否会缺少我们授予访问权限的新组？

感谢您的任何意见或建议！

我们是第一次在我们的组织中实施组策略，并且对最佳实践和功能有一些疑问。我们已经做了一些工作，想看看是否有更好的方法。

我们目前的设置

我们的安全过滤设置如下：

EXCEPT Firewall AllowFilePrintSharing
    Group: Firewall AllowFilePrintSharing PCs
EXCEPT Firewall AllowRDP
    Group: EXCEPT Firewall AllowRDP PCs
EXCEPT Firewall Unmanaged
    Group: EXCEPT Firewall Unmanaged PCs
Workstations Policy
    Authenticated Users
Folder Redirection
    Group: Folder Redirection PCs
    Authenticated Users
Proxy Disabled
    Group: Proxy Disabled PCs
    Authenticated Users
Loopback Policy Processing - Replace
    Authenticated Users

我们的目标

为所有具有默认策略的最终用户 PC 设置一个 OU，然后能够通过将 PC 添加到其他地方的 AD 组来拥有覆盖某些默认策略的例外策略。将用户留在其用户 OU 下。

除了将所有 GP 和 PC 链接到工作站并删除两个内部 OU 之外，它基本上都在上面。

例子

工作站 OU 有 100 台 PC，其中 10 台应启用文件夹重定向。识别这 …