Windows-Server-2008

安全組不允許域管理員查看文件

  • September 8, 2010

這應該很簡單。我將我的 Documents 文件夾重定向到名為 //dc/documents 的共享。它為每個人在此共享下創建一個文件夾,然後在該共享下為我的文件創建一個文件夾。此 //dc/documents 共享的安全權限如下:

  • 分享權限:

    • 每個人 - 完全控制
  • NTFS 權限:

    • 每個人(僅限此文件夾)- 列出文件夾/讀取數據、讀取屬性、讀取擴展屬性、讀取權限
    • CREATOR OWNER(僅限子文件夾和文件)- 完全控制
    • SYSTEM(此文件夾、子文件夾和文件)- 完全控制
    • 管理員(此文件夾、子文件夾和文件)- 完全控制
    • 域管理員(此文件夾、子文件夾和文件)- 完全控制

當我登錄 PDC 上的內置管理員帳戶時,我的問題出現了。儘管該帳戶是域管理員和管理員組的一部分,但我無權查看子文件夾和文件。我沒有看到任何繼承的權限會阻止我在這些文件夾中做任何我想做的事情。打開文件夾時我必須按下一些神奇的按鈕嗎?這變得越來越令人沮喪。

您在文件夾重定向設置的“設置”選項卡上勾選了“授予使用者專有權…”框。關閉它,文件夾重定向客戶端擴展 (CSE) 會將“管理員”添加到它創建的文件夾的權限中。

個人而言,我為使用者預先創建了子文件夾,因為文件夾重定向 CSE 禁用了它創建的子文件夾的繼承(我認為這是一個 Bad Thing TM)。如果您預先創建文件夾並將“使用者/完全控制”添加到子文件夾,文件夾重定向 CSE 將很高興,並將保留文件夾上的繼承層次結構不變。

如果要“修復”已有的文件夾,可以使用icacls腳本中的實用程序之類的工具來清理權限。假設子文件夾都以使用者的 samAccountNames 命名,您可以執行以下操作:

FOR /D %%d in (E:\Home Directories\*) DO (
 TAKEOWN /f "E:\Home Directories\%%d" /r /d y 
 ICACLS "E:\Home Directories\%%d" /reset /T 
 ICACLS "E:\Home Directories\%%d" /grant:r "MYDOMAIN\%userDir%":(OI)(CI)F 
 ICACLS "E:\Home Directories\%%d" /setowner "MYDOMAIN\%userDir%" /T 
)

這將再次為您提供一個漂亮、乾淨的繼承層次結構,使用者在每個子文件夾中指定了“完全控制”權限。

引用自:https://serverfault.com/questions/179235