如何解決 NTFS 移動/複製設計缺陷?
任何處理過文件伺服器權限的人都知道,NTFS 有一個有趣的設計特性/缺陷,稱為移動/複製問題。
如本 MS 知識庫文章中所述,如果文件夾或文件被移動並且源和目標位於同一 NTFS 卷上,則文件夾或文件的權限不會自動從父級繼承。如果復製文件夾或源和目標位於不同的捲上,則會繼承權限。
這是一個簡單的例子:
您在同一個 NTFS 卷上有兩個共享文件夾,分別稱為“Technicians”和“Managers”。Technicians 組對 Technicians 文件夾具有 RW 訪問權限,Managers 組對“Managers”文件夾具有 RW 訪問權限。如果有人可以訪問這兩者,並且他們將子文件夾從“Managers”文件夾移動到“Technicians”文件夾,則移動的文件夾仍然只能由“Managers”組中的使用者訪問。“技術人員”組無法訪問子文件夾,即使它位於“技術人員”文件夾下,並且應該從頂部繼承權限。
正如您可以想像的那樣,這會導致解決這些最終使用者問題的支持電話、票證和浪費周期,更不用說如果使用者經常在不同的安全文件夾/區域之間移動文件夾,您最終可能會遇到的權限嵌套。相同的音量。
問題是:
解決此 NTFS 設計缺陷的最佳方法是什麼?您如何在您的環境中處理它?
我知道連結的 KB 文章討論了一些系統資料庫項來更改 Windows 資源管理器的預設行為,但它們是客戶端的,並且要求使用者能夠更改權限,如果你在大多數環境中我認為這是一個非首發希望控制您的文件伺服器權限(以及您作為系統管理員的理智)。
我的方法是不使用文件/目錄級別的文件權限;使用文件共享級別權限,並將整個伺服器文件系統數據驅動器設置為“所有人完全控制”(這變得沒有實際意義)。
多年來(10+),我發現 NTFS 權限更複雜並導致更多錯誤。如果權限設置錯誤,或者繼承被破壞,你就會暴露數據並且很難找到和看到它。另外,正如您所說,您會遇到移動/複製問題。
必須使用目錄/文件級別 ACL 的地方;除了定期進行健康檢查外,我沒有其他解決方案。