對於網路共享,共享權限和安全權限如何相互配合?
背景
在過去的幾周里,我試圖修改我們公司的 Active Directory 和使用者組設置。但是,由於缺乏適當的文件,在進行更改後,意外的副作用開始出現。
我遇到的最後一個問題是關於網路共享。
由於多代 IT 人員在這家公司工作過,他們每一個人都對 Active Directory 進行了更改,但他們都沒有編寫文件。因此,Active Directory 和 GPO 已經發展到變得混亂的地步。我決定解開這個爛攤子並開始研究它。
基礎設施
有一台域控制器和一台終端伺服器。我們使用終端服務。使用者通過遠端桌面連接連接到終端伺服器並在那裡完成大部分工作。
使用者可以訪問從域控制器共享的一些網路共享。
問題
我將通過範例說明問題: User
A
是 Group 的成員X
。我A
從組中刪除X
。然後使用者無法訪問網路中共享的文件夾。我檢查了
Properties
這個文件夾。
Sharing
tab –>Advanced Sharing
–>Permissions
:包括組Everyone
和Administrators
$$ 1 $$Security
選項卡 –> 在Groups or Username
部分下,列出了SYSTEM
和Administrators
組X
。$$ 2 $$那麼為什麼當我
A
從組中刪除使用者時X
,A
無法訪問此共享文件夾。使用者不A
被視為Everyone
使用者組的一部分。他不應該通過Everyone
組擁有所有權限嗎?概括我的問題。相互之間如何
Sharing Permissions
合作Security Permissions
?它們之間有什麼依賴關係。基本上,這是否意味著當我想與某個使用者組共享一個文件夾時,該組必須同時在
Shared Permissions [1]
和中列出Security Permissions [2]
?
共享權限和 NTFS 安全權限是分層的。使用者必須在每一層都具有訪問權限才能訪問共享。
共享權限是一個遺留概念,因此大多數管理員將它們設置為“所有人”並在 NTFS 級別處理 100% 的訪問控制。這似乎就是這裡發生的事情。您所描述的是預期的行為。
以下技術網文章對此進行了解釋:共享和 NTFS 權限