Windows

對於網路共享,共享權限和安全權限如何相互配合?

  • August 29, 2014

背景

在過去的幾周里,我試圖修改我們公司的 Active Directory 和使用者組設置。但是,由於缺乏適當的文件,在進行更改後,意外的副作用開始出現。

我遇到的最後一個問題是關於網路共享。

由於多代 IT 人員在這家公司工作過,他們每一個人都對 Active Directory 進行了更改,但他們都沒有編寫文件。因此,Active Directory 和 GPO 已經發展到變得混亂的地步。我決定解開這個爛攤子並開始研究它。

基礎設施

有一台域控制器和一台終端伺服器。我們使用終端服務。使用者通過遠端桌面連接連接到終端伺服器並在那裡完成大部分工作。

使用者可以訪問從域控制器共享的一些網路共享。

問題

我將通過範例說明問題: UserA是 Group 的成員X。我A從組中刪除X。然後使用者無法訪問網路中共享的文件夾。

我檢查了Properties這個文件夾。

  • Sharingtab –> Advanced Sharing–> Permissions:包括組EveryoneAdministrators $$ 1 $$
  • Security選項卡 –> 在Groups or Username部分下,列出了SYSTEMAdministratorsX。$$ 2 $$

那麼為什麼當我A從組中刪除使用者時XA無法訪問此共享文件夾。使用者不A被視為Everyone使用者組的一部分。他不應該通過Everyone組擁有所有權限嗎?

概括我的問題。相互之間如何Sharing Permissions合作Security Permissions?它們之間有什麼依賴關係。

基本上,這是否意味著當我想與某個使用者組共享一個文件夾時,該組必須同時在Shared Permissions [1]和中列出Security Permissions [2]

共享權限和 NTFS 安全權限是分層的。使用者必須在每一層都具有訪問權限才能訪問共享。

共享權限是一個遺留概念,因此大多數管理員將它們設置為“所有人”並在 NTFS 級別處理 100% 的訪問控制。這似乎就是這裡發生的事情。您所描述的是預期的行為。

以下技術網文章對此進行了解釋:共享和 NTFS 權限

引用自:https://serverfault.com/questions/624934