Windows文件夾權限,為什麼會這樣?
在我的 Windows 伺服器上,我有一個名為“數據”的共享,內部數據是 3 個子文件夾,分別稱為 1、2 和 3。
NTFS權限如下
數據(AllStaff 組在這裡有 Modify,Admins 擁有完全控制權) -folder1(繼承父權限) -folder2(AllStaff 權限已被刪除,並添加了 2 個具有 Modify 權限的非管理員使用者)-folder3(繼承父權限)
我的問題是每個人仍然可以讀取和寫入文件夾 2,儘管查看 NTFS 權限,該文件夾沒有從父級繼承權限,並且只有 2 個使用者應該有權訪問(加上管理員),但每個人都可以訪問它!
我決定重新開始,讓 AllStaff 組對文件夾 2 具有修改權限,但檢查每種權限類型的“拒絕”框,我給了 2 個使用者修改,現在應該有訪問權限的 2 個使用者無法進入,他們是 AllStaff 小組的成員,所以我明白為什麼會這樣。
有人可以解釋為什麼我無法實現我的目標嗎?基本上 2 個使用者需要數據共享中的私人文件夾。
非常感謝斯科特
NTFS 不支持僅阻止某些繼承權限(這恰好是我希望從舊的 Netware 文件系統中看到的唯一功能——繼承權限過濾器)。因此,您應該使用在高層授予最少權限並在較低級別添加權限的方法來設計您的權限層次結構。
基本上,您正在設計一個顛倒的權限層次結構。
我會將“數據”共享的權限設置為:
- 管理員 - 完全控制
- 系統 - 完全控制
- 經過身份驗證的使用者 - 列出文件夾內容 - 僅此文件夾(在“高級”對話框中設置)
然後,我會為每個特定的必要用途創建子文件夾,並將這些文件夾的權限授予需要訪問的組。
這有一個很好的副作用,就是防止使用者使用他們自己的文件和目錄填充“數據”共享的根文件夾。如果您還沒有“文件堆”問題,並且您確實允許使用者填充該根目錄,那麼您很快就會陷入混亂。(我們有客戶花了很多錢,相對來說,清理凌亂的“公共驅動器”,因為他們沒有從一個好的子文件夾/權限策略開始,並且允許大量文件堆積多年。這就像流沙——你被困在其中,一旦使用者擁有帶有“連結”進入“沼澤”的電子表格、“沼澤”中文件的快捷方式等,你就不能輕易脫身。)
此外,除了完全特定於使用者的目錄(例如漫遊配置文件文件夾、主目錄等)之外,您不應該在權限中命名單個使用者*。*所有其他權限,即使它們是針對“僅幾個人”的,也應該基於組。流動發生了,並且將來當您需要為替代員工提供與他們要替代的人“相同的權利”時,您會很高興您使用了組。不必保留有關您可能已設置的所有文件系統權限的文件(或者,更糟糕的是,不得不手動通過它),您只需將新使用者與被替換的人放在相同的組中,並確保您已賦予新 wuser 與被替換使用者“相同的權限”。
NTFS 中的“拒絕”權限應該會在您的腦海中敲響警鐘。它很少用於設計良好的權限層次結構中。通常,如果您發現自己需要使用“拒絕”,那麼您可能已經倒退了設計。
應該避免阻塞權限繼承,因為它限制了未來的權限靈活性。如果你打算這樣做,你應該有一個很好的理由。
每次你打破繼承層次結構時,你都會限制你在層次結構中添加更高權限的能力,顯然,繼承下來。
假設“老闆”來找你說:“我希望‘高管’擁有對整個‘數據’共享的讀取權限”。如果您在 20 個不同的地方阻止了繼承,則每個地方都需要添加一個 ACL 條目。將其與在層次結構頂部添加單個 ACL 條目進行比較(假設您從未在層次結構中的任何位置阻止繼承)。