Windows-Server-2008-R2
如何使用基於訪問的列舉設置 NTFS ACL
我們正在從 Novell Netware 遷移到 Windows 2K8 R2 基礎架構(AD、文件伺服器、列印伺服器…等)
我的問題是關於 ACL。雖然 Netware 和 Windows 完全不同,但我想在搞砸一切之前確定我的想法是好的!
有一個場景:
F: | +-- DATA <= Shared as DATA with Access based enumeration | +-- Folder 1 +-- Team 1's Folder +-- Team 2's Folder ...
在這種情況下,預設情況下,權限從 F: 繼承到最深的文件夾。
我們想要什麼:
- 管理員組擁有自上而下的完全控制權。
- 從 DATA 中,ABE 僅列出使用者有權訪問的文件夾。(例如:我在 Team 2 中,我看到 Team 2 的文件夾)。
據我了解,在 DATA 中,我刪除了所有要繼承的 NTFS ACL(例如使用者組),請務必保留管理員組和 SYSTEM 使用者。
之後,將每個文件夾的完全控制(或所需的任何權限)授予必須具有訪問權限的組或使用者。
我錯了嗎?有什麼我應該照顧的嗎?
對我理解的任何幫助將不勝感激。
問候。
正確的。
我傾向於不授予 users
Full Control
,因為我有太多的權限搞砸了。所以我授予他們所有權限,除了Take Ownership
和Change Permissions
權限。而且我可能建議為您授予訪問權限的每個文件夾設置兩個組:一個用於只讀訪問,另一個用於修改訪問,因為根據我的經驗,這往往會出現很多,而且可以的人越少不小心刪除了所有文件,我不必經常從備份中恢復。