File-Permissions

NTFS權限說明

  • July 11, 2014

前段時間我問過下面的問題並得到了回答,我登錄了我最近回顧它只是看到所有答案都已被刪除。我做錯什麼了嗎?

“我似乎陷入了這個奇怪的權限問題循環。我們有一個文件伺服器,每個人都有他們的使用者共享和他們的部門共享。一切都執行良好。權限設置Modify為部門或使用者的個人共享。不是Full Control. 使用者可以訪問他們的文件夾,但顯然不能在根級別添加其他人,因為他們沒有Full Control.

我似乎無法理解的是,假設使用者 A 在其個人共享中創建了一個名為XYZ(所有使用者都有自己的共享文件夾)的文件夾,然後轉到權限,並user B通過搜尋 Active Directory 簡單地添加。

如果使用者 B 需要訪問他們將鍵入的文件夾\\SERVER\User A\(這將被拒絕,因為他們無權訪問根文件夾)。但是,如果使用者 B 鍵入\\SERVER\User A\XYZ,他們將被授予訪問權限,因為使用者 A 允許在 NTFS 權限級別訪問該文件夾

如何阻止使用者在其共享中創建文件夾並簡單地修改 NTFS 權限以添加另一個使用者並讓他們使用絕對路徑獲得訪問權限?

這沒有任何意義。

Windows Server 2008 R2 和 2008 功能級別域。初始共享是由域管理員在伺服器上創建的 使用者 A 是他們機器的本地管理員 只有使用者 B 是標準使用者

在上述場景中,“使用者 A”無法向文件夾添加權限,\\SERVER\User A\XYZ除非訪問控制列表 (ACL) 中的某些內容授予“使用者 A”“完全控制”權限。更改權限是“完全控制”的一部分,只要“使用者 A”具有“修改”權限,他們就不能設置權限。

作為客戶端電腦的“管理員”不會授予“使用者 A”在 SERVER 電腦上的任何特殊權限。不過,這確實讓我想知道“使用者 A”在“伺服器”機器上的權限是否比您想像的要多。

我會調查您在場景中描述的文件夾上的“使用者 A”的“有效權限”。我強烈懷疑您會發現他們擁有“完全控制”權限。

引用自:https://serverfault.com/questions/611969