Windows 文件伺服器和 ABE
我正在創建一個新的 Windows 2008R2 文件伺服器,並且在使用基於訪問的列舉時遇到了一些問題。
我不只是想遷移所有數據和權限,因為我們的結構在過去約 15 年的過程中不斷增長,老實說,這是一團糟。因此,我正在努力為此付出盡可能多的努力。
我設置了一個基於域的 DFS-N(數據),其中發布了每個部門(dept1 到 dept 4)的共享。在測試時(是的,我們有一個測試環境!我們很幸運!)我偶然發現了一個關於基於訪問的 Emuneration 的錯誤(?)。權限將通過嵌套不同的權限組來處理。我的問題是,將使用者添加到子目錄的特定組不會使他能夠查看/遍歷父目錄。
ABE 在文件共享和 DFS-N 上均啟用。
我創建了以下目錄結構:
\\DFSRoot\Data\ +---dept1 | +---dir1 | | +---sub1 | | \---sub2 | +---dir2 | +---dir3 | | +---sub1 | | \---sub2 | \---dir4 +---dept2 | +---dir1 | +---dir2 | +---dir3 | \---dir4 +---dept3 | +---dir1 | +---dir2 | +---dir3 | \---dir4 +---dept4 | +---dir1 | +---dir2 | +---dir3 | \---dir4 \---dept5 +---dir1 | +---sub1 | \---sub2 +---dir2 +---dir3 \---dir4 +---sub1 \---sub2
對於每個目錄,我創建了 3 個組:
所以對於**\DFSroot\Data\dept1**這將是
dl-dept1-list dl-dept1-ro dl-dept1-rw
對於**\DFSroot\Data\dept1\dir1**
dl-dept1-dir1-list dl-dept1-dir1-ro dl-dept1-dir1-rw
對於**\DFSroot\Data\dept1\dir1\sub1**
dl-dept1-dir1-sub1-list dl-dept1-dir1-sub1-ro dl-dept1-dir1-sub1-rw
對於其他一切,該方案也適用。
對於每個目錄,相應的組是下一級目錄的**列表組的成員。**所以
dl-dept1-dir1-sub1-list dl-dept1-dir1-sub1-ro dl-dept1-dir1-sub1-rw
是dl-dept1-dir1-list的成員
繼承不壞。這些 RO/RW 組對其文件夾和其中的每個子目錄都有各自的權限。
列表組有特殊權限 –> ListDirectory,ReadAttributes,ReadPermissions,Traverse –>僅此文件夾
如果我將 $User 添加到dl-dept1-dir1-sub1-rw以向 \DFSroot\Data\dept1\dir1\sub1 授予 R/W 權限,則使用者能夠訪問共享dept1(dl-dept1-list 的成員) 但看不到任何目錄。 $ User cannot access dir1 via UNC path. $ 使用者可以通過 UNC 路徑訪問 sub1。
如果在共享上禁用 ABE,$user 可以毫無問題地遍歷目錄。
在這一點上,我被卡住了,看不到我錯過了什麼。
也許你們中的一個可以提供幫助。提前致謝。
我想到了。我的問題是缺少特別許可。LIST 組需要讀取擴展屬性才能使 ABE 工作。