อาจมีผู้ถามคำถามนี้ในที่อื่น แต่ฉันไม่พบคำถามที่ตรงกับเกณฑ์ที่เรามี

เรามีระบบ Windows Server 2016 Standard ที่รัน fileshares ภายในหนึ่งของการแชร์ เรามีโฟลเดอร์ (สำหรับจุดประสงค์ของตัวอย่างนี้ การแชร์จะเรียกว่า "GeneralShare" และโฟลเดอร์คือ "ControlledFolder") อยู่ในนั้น เราอยากจะมีโฟลเดอร์ของตัวเองที่ระบุไว้ในหุ้น แต่ไม่อนุญาตให้ใด ๆ ที่ผู้ใช้ไม่ได้อยู่ในกลุ่ม "ControlledFolderAccess" ในการโฆษณาจะมีการเข้าถึงข้อมูล ดังนั้น ผู้ใช้ที่ไม่ได้อยู่ในกลุ่ม "ControlledFolderAccess" จะรู้ว่ามีโฟลเดอร์นี้อยู่ แต่จะไม่สามารถดูเนื้อหาภายในโฟลเดอร์ได้ (เรายังมีกฎการเข้าถึงโดยปริยาย เช่น ระบบและผู้ดูแลระบบภายใน (และผู้ดูแลระบบโดเมน) ที่มีสิทธิ์เช่นกัน)

เราได้ทดลองกับชุดของสิทธิ์ การปรับอ่าน/เขียน/ดำเนินการ และการทำซ้ำทั้งหมดของสิทธิ์พิเศษในระหว่างนั้น และยังทดลองกับสิทธิ์ 'ปฏิเสธ' ด้วยเช่นกัน อย่างไรก็ตาม เราไม่พบชุดกฎที่เหมาะสมที่จะรวมกฎดังกล่าวได้อย่างเหมาะสม

ไม่มีใครรู้กฎเฉพาะที่เราต้องตั้งค่าเพื่อป้องกันไม่ให้ผู้ใช้เข้าสู่ไดเร็กทอรี แต่ยังเห็นว่าไดเร็กทอรีอยู่ในตัวแชร์หรือไม่?


นี่คือสิ่งที่เราทำในไดเร็กทอรีทดสอบเพื่อลองทำซ้ำ:

สิทธิ์ GeneralShare:

อนุญาตกฎ:

  • ผู้ดูแลระบบโดเมน: การควบคุมทั้งหมด
  • ผู้ดูแลระบบภายใน: ควบคุมทั้งหมด
  • ผู้ใช้โดเมน: Modify
  • ผู้ใช้ระบบ: ควบคุมทั้งหมด

ปฏิเสธกฎ:

  • ไม่มี

กฎการแชร์ทั่วไป/โฟลเดอร์ที่ควบคุม:

(ไม่มีมรดก)

อนุญาตกฎ:

  • ผู้ดูแลระบบโดเมน: การควบคุมทั้งหมด
  • ผู้ดูแลระบบภายใน: ควบคุมทั้งหมด
  • ControlledFolderAccess: ควบคุมทั้งหมด

ตามที่ผมเข้าใจมันสิทธิ์เหล่านี้ควรทำงาน ... ที่เราขาดหายไปที่ไหนสักแห่งปฏิเสธกฎหรือมี behaviro มาตรฐานสำหรับเซิร์ฟเวอร์ 2016 เพียงแค่เปลี่ยน ? (การอนุญาตเดียวกันนี้บนเซิร์ฟเวอร์ 2012R2 ที่มีการแชร์อื่น ๆ ใช้งานได้ตามที่คาดไว้ เราสามารถเห็นโฟลเดอร์แต่ไม่สามารถเข้าถึงได้หากเราไม่ใช่ผู้ดูแลระบบและไม่มีการเข้าถึงที่ชัดเจนหรือไม่ได้อยู่ในกลุ่ม ControlledFolderAccess.. . แต่ในปี 2559 โฟลเดอร์เหล่านี้ไม่ปรากฏขึ้นพร้อมกับชุดสิทธิ์เหล่านี้)

answer

ดูเหมือนว่าการแจงนับตามการเข้าถึงถูกเปิดใช้งานในการแชร์ระดับบนสุด ซึ่งป้องกันไม่ให้ผู้ใช้เห็นโฟลเดอร์ที่พวกเขาไม่มีสิทธิ์เข้าถึง หากคุณปิดใช้งาน ABE ในการแชร์ระดับบนสุดที่ควรอนุญาตให้พวกเขาเห็น แต่ไม่สามารถเข้าถึง โฟลเดอร์ที่เป็นปัญหา