Windows-Server-2008

使用者從文件/文件夾權限中刪除管理員

  • December 4, 2015

我們正在Windows Server 2003 R2使用Active Directory網路共享並遇到問題,使用者為了保護他們的文件,Administrator從他們的文件/文件夾權限中刪除每個人(包括帳戶)。由於Administrator不再擁有read他們的權限,我們甚至無法手動備份文件,因為我們得到權限錯誤。

我們找到的一種解決方案是owner將文件和目錄更改為Administrator帳戶。然後,我們可以根據需要更改權限。問題是這必須手動完成,因此不能真正應用於整個共享。

我們嘗試過的另一個解決方案是使用cacls如下:

cacls d:\path\to\share /C /T /E /G Administrator:F

這樣做的問題是我們仍然在已刪除ACCESS DENIED的文件/文件夾上遇到錯誤。Administrator

Q1:有沒有辦法以遞歸方式至少恢復read對帳戶的所有文件/文件夾的訪問?Administrator

那將是短期的。從長遠來看,我們正在尋找一種解決方案來防止使用者從Administrator文件/文件夾中刪除權限。由於我們將Windows Server 2008 R2很快遷移到,因此如果需要,我們可以等到我們遷移後實施此類解決方案。

Q2:有沒有辦法阻止使用者從 Windows Server 2003/2008 的文件/文件夾權限中刪除管理員?

Q1:有沒有辦法以遞歸方式至少恢復對管理員帳戶的所有文件/文件夾的讀取權限?

如果權限是繼承的(即沒有在不同的文件和文件夾上單獨設置),則更改根文件夾的權限並設置“替換所有子對象…”複選框將用繼承的權限替換所有權限。

這當然會替換應該具有不同權限的子項目的權限。

Q2:有沒有辦法阻止使用者從 Windows Server 2003/2008 的文件/文件夾權限中刪除管理員?

不。

雖然“更改權限”有一個單獨的標誌,但 Windows 將忽略文件所有者的這一點(所有者始終可以更改權限),否則空 ACL(或拒絕所有人 ACE 的 ACL)將不可逆。

由於出現權限錯誤,我們甚至無法手動備份文件。

為什麼要進行這樣的手動操作?備份軟體應執行並聲明將繞過 ACL 的備份(以及恢復時,恢復)權限。如果使用者需要手動備份他們擁有的部分文件,那麼他們可以輕鬆複製。

也許這確實是一個使用者培訓問題:如果您拒絕管理員訪問,那麼管理員將無法幫助您進行文件管理。

引用自:https://serverfault.com/questions/331008