Windows-Server-2008-R2

如何使用基於訪問的列舉設置 NTFS ACL

  • November 20, 2012

我們正在從 Novell Netware 遷移到 Windows 2K8 R2 基礎架構(AD、文件伺服器、列印伺服器…等)

我的問題是關於 ACL。雖然 Netware 和 Windows 完全不同,但我想在搞砸一切之前確定我的想法是好的!

有一個場景:

F:
|
+-- DATA <= Shared as DATA with Access based enumeration
    |
    +-- Folder 1
    +-- Team 1's Folder
    +-- Team 2's Folder
    ...

在這種情況下,預設情況下,權限從 F: 繼承到最深的文件夾。

我們想要什麼:

  • 管理員組擁有自上而下的完全控制權。
  • 從 DATA 中,ABE 僅列出使用者有權訪問的文件夾。(例如:我在 Team 2 中,我看到 Team 2 的文件夾)。

據我了解,在 DATA 中,我刪除了所有要繼承的 NTFS ACL(例如使用者組),請務必保留管理員組和 SYSTEM 使用者。

之後,將每個文件夾的完全控制(或所需的任何權限)授予必須具有訪問權限的組或使用者。

我錯了嗎?有什麼我應該照顧的嗎?

對我理解的任何幫助將不勝感激。

問候。

正確的。

我傾向於授予 users Full Control,因為我有太多的權限搞砸了。所以我授予他們所有權限,除了Take OwnershipChange Permissions權限。

而且我可能建議為您授予訪問權限的每個文件夾設置兩個組:一個用於只讀訪問,另一個用於修改訪問,因為根據我的經驗,這往往會出現很多,而且可以的人越少不小心刪除了所有文件,我不必經常從備份中恢復。

引用自:https://serverfault.com/questions/450657