บนเซิร์ฟเวอร์ Windows ของฉัน ฉันมีการแชร์ชื่อ 'ข้อมูล' ข้อมูลภายในคือโฟลเดอร์ย่อย 3 โฟลเดอร์ชื่อ 1, 2 และ 3

สิทธิ์ของ NTFS มีดังนี้

ข้อมูล (กลุ่ม AllStaff มีการปรับเปลี่ยนที่นี่ ผู้ดูแลระบบมีการควบคุมทั้งหมด) -folder1 (สืบทอดการอนุญาตของผู้ปกครอง) -folder2 (สิทธิ์ AllStaff ถูกลบออกและเพิ่มผู้ใช้ที่ไม่ใช่ผู้ดูแลระบบ 2 รายโดยมีสิทธิ์แก้ไข) -folder3 (สืบทอดการอนุญาตจากผู้ปกครอง)

ปัญหาของฉันคือทุกคนยังคงสามารถอ่านและเขียนลงในโฟลเดอร์ 2 ได้ แม้ว่าจะดูการอนุญาต NTFS แล้ว โฟลเดอร์ก็ไม่ได้รับการอนุญาตจากพาเรนต์ และผู้ใช้ onlt 2 ควรมีสิทธิ์เข้าถึง (รวมถึงผู้ดูแลระบบด้วย) แต่ทุกคนก็สามารถเข้าถึงได้!

ฉันตัดสินใจเริ่มต้นใหม่และออกจากกลุ่ม AllStaff โดยมีสิทธิ์ Modify ในโฟลเดอร์2 แต่ทำเครื่องหมายที่ช่อง 'ปฏิเสธ' สำหรับการอนุญาตแต่ละประเภท ฉันให้ผู้ใช้ 2 คน Modify ตอนนี้ผู้ใช้ 2 คนที่ควรมีสิทธิ์เข้าถึงจะไม่สามารถเข้าถึงได้ พวกเขา เป็นสมาชิกของกลุ่ม AllStaff ดังนั้นฉันจึงสามารถเห็นได้ว่าทำไมถึงเป็นเช่นนี้

มีใครอธิบายได้ไหมว่าทำไมฉันถึงไม่บรรลุเป้าหมาย โดยทั่วไปผู้ใช้ 2 คนต้องมีโฟลเดอร์ส่วนตัวภายในการแชร์ข้อมูล

ขอบคุณมากสก็อตต์

answer

NTFS ไม่รองรับการบล็อกเฉพาะการอนุญาตที่สืบทอดมาเท่านั้น (ซึ่งเป็นคุณสมบัติเดียวที่ฉันต้องการเห็นจากระบบไฟล์ Netware เก่า - ตัวกรองสิทธิ์ที่สืบทอดมา) ดังนั้น คุณควรออกแบบลำดับชั้นการอนุญาตของคุณด้วยวิธีการที่ให้สิทธิ์น้อยที่สุดในระดับสูง และเพิ่มการอนุญาตในระดับที่ต่ำกว่า

คุณกำลังออกแบบลำดับชั้นการอนุญาตกลับหัวกลับหาง

ฉันจะตั้งค่าการอนุญาตในการแชร์ "ข้อมูล" เป็นดังนี้:

  • ผู้ดูแลระบบ - ควบคุมทั้งหมด
  • ระบบ - การควบคุมทั้งหมด
  • ผู้ใช้ที่ตรวจสอบสิทธิ์ - แสดงรายการเนื้อหาโฟลเดอร์ - โฟลเดอร์นี้เท่านั้น (ตั้งค่าในกล่องโต้ตอบ "ขั้นสูง")

จากนั้น ฉันจะสร้างโฟลเดอร์ย่อยสำหรับการใช้งานที่จำเป็นแต่ละรายการ และให้สิทธิ์โฟลเดอร์เหล่านั้นแก่กลุ่มที่ต้องการเข้าถึง

สิ่งนี้มีผลข้างเคียงที่ดีในการป้องกันไม่ให้ผู้ใช้เติมโฟลเดอร์รูทของการแชร์ "data" กับไฟล์และไดเร็กทอรีของตนเอง หากคุณไม่ได้มีส่วน "กองของไฟล์" ปัญหาเลยและคุณไม่ให้ผู้ใช้สามารถเติมไดเรกทอรีรากที่คุณได้อย่างรวดเร็วจะเป็นระเบียบดังกล่าว (เรามีลูกค้าที่ใช้เงินเป็นจำนวนมากค่อนข้างพูด ทำความสะอาด "ไดรฟ์สาธารณะ" ที่ยุ่งเหยิงเพราะพวกเขาไม่ได้เริ่มต้นด้วยโฟลเดอร์ย่อย / กลยุทธ์การอนุญาตที่ดีและปล่อยให้ไฟล์จำนวนมากกองพะเนินเทินทึกมาหลายปี มันเหมือนกับทรายดูด -- คุณติดอยู่กับมัน และเมื่อผู้ใช้มีสเปรดชีตที่มี "ลิงก์" อยู่ใน "บึง" ทางลัดไปยังไฟล์ใน "บึง" ฯลฯ คุณจะไม่สามารถออกไปได้โดยง่าย)

นอกจากนี้คุณไม่ควรEVERชื่อผู้ใช้แต่ละคนในสิทธิ์ยกเว้นในกรณีของเครือไดเรกทอรีเฉพาะของผู้ใช้ (เช่นโรมมิ่งโฟลเดอร์โปรไฟล์ไดเรกทอรีบ้าน ฯลฯ ) สิทธิ์อื่นๆ ทั้งหมด แม้ว่าจะมีไว้สำหรับ "เพียงสองสามคน" ควรยึดตามกลุ่ม การหมุนเวียนเกิดขึ้น และในอนาคตเมื่อคุณต้องการให้ "สิทธิ์เดียวกัน" แก่พนักงานทดแทนในฐานะบุคคลที่พวกเขากำลังเปลี่ยน คุณจะดีใจที่คุณใช้กลุ่ม แทนที่จะต้องเก็บเอกสารเกี่ยวกับการอนุญาตระบบไฟล์ทั้งหมดที่คุณอาจตั้งค่าไว้ (หรือที่แย่กว่านั้นคือต้องควานหาด้วยมือ) คุณสามารถจัดผู้ใช้ใหม่ให้อยู่ในกลุ่มเดียวกับบุคคลที่ถูกแทนที่และมั่นใจได้ว่าคุณ ได้มอบ "สิทธิ์เดียวกัน" ให้กับ wuser ใหม่ในฐานะผู้ใช้ที่ถูกแทนที่

การอนุญาต "ปฏิเสธ" ใน NTFS ควรส่งเสียงเตือนในหัวของคุณ ไม่ค่อยใช้ในลำดับชั้นการอนุญาตที่ออกแบบมาอย่างดี โดยทั่วไปแล้ว หากคุณพบว่าตัวเองจำเป็นต้องใช้ "ปฏิเสธ" แสดงว่าคุณอาจออกแบบสิ่งต่างๆ ย้อนกลับ

ควรหลีกเลี่ยงการสืบทอดสิทธิ์การบล็อกเนื่องจากจะจำกัดความยืดหยุ่นในการอนุญาตในอนาคต หากคุณกำลังจะทำคุณควรมีเหตุผลที่ดี

ทุกครั้งที่คุณทำลายลำดับชั้นการสืบทอด คุณจะจำกัดความสามารถในการเพิ่มการอนุญาตที่สูงขึ้นในลำดับชั้นที่เห็นได้ชัดว่าสืบทอดลงมา

สมมติว่า "เจ้านาย" มาหาคุณและพูดว่า: "ฉันต้องการให้ 'ผู้บริหาร' มีสิทธิ์อ่านเพื่อแชร์ 'ข้อมูล' ทั้งหมด" หากคุณบล็อกการสืบทอดใน 20 แห่ง แต่ละรายการจะต้องเพิ่มรายการ ACL เปรียบเทียบกับการเพิ่มรายการ ACL เดียวที่ด้านบนสุดของลำดับชั้น (สมมติว่าคุณไม่เคยบล็อกการสืบทอดที่ใดก็ตามในลำดับชั้น)

การปฏิเสธจะอยู่เหนือกฎการอนุญาตเสมอ ดังนั้นหากผู้ใช้ 2 รายของคุณอยู่ในกลุ่ม AllStaff พวกเขาจะถูกปฏิเสธการเข้าถึง

สำหรับปัญหาเดิมของคุณ ฉันเข้าใจถึงความคับข้องใจ สิ่งที่คุณกำลังอธิบายไม่ควรเกิดขึ้น