Tôi đang làm việc để thiết lập chia sẻ mạng (xem câu chuyện bên dưới) và tôi đã gặp phải một số hành vi kỳ lạ với quyền NTFS. Đối tượng "CREATOR OWNER" dường như chỉ có thể liệt kê các quyền "Đặc biệt" trong "tab Bảo mật". Bất kể tôi làm gì, hệ thống sẽ hoàn nguyên về cài đặt này. Có cách nào để có được mục nhập "CHỦ SỞ HỮU SÁNG TẠO" để liệt kê bất kỳ thứ gì khác ngoài Đặc biệt trong tab bảo mật không? Nó sẽ giúp việc kiểm tra các lỗi về quyền dễ dàng hơn rất nhiều vì tôi sẽ không phải đi sâu vào Tab Nâng cao để xem những quyền nào tôi đã đặt cho nhóm này. Đây là trên máy khách Windows 7 kết nối với một bản chia sẻ Windows Server 2008.

Câu hỏi thưởng:

Tôi cũng muốn biết lý do tại sao nhóm "CHỦ SỞ HỮU TẠO" không thể áp dụng quyền cho "Thư mục này". Đây có vẻ như là một câu chuyện kỳ ​​quặc của nhóm này mà phải có một câu chuyện đằng sau lý do tại sao nó được thiết lập theo cách này.

Tôi đã thực hiện một số tìm kiếm và tìm thấy bài báo technet "Cách quyền hoạt động" . Tôi đã duyệt qua để tìm kiếm thông tin về quyền "CHỦ SỞ HỮU" và chỉ tìm thấy một số thông tin về cách hoạt động của quyền đó.


[Câu chuyện nền]

Vì vậy, tôi có một mạng chia sẻ nơi người dùng sẽ tạo một thư mục để lưu trữ công việc của họ trên một dự án cụ thể. Các tệp trong thư mục của mỗi người dùng là riêng tư do các thông số do người quản lý dự án cung cấp cho tôi. Trên thông số đó, người dùng của thư mục này sẽ thay đổi liên tục theo năm, một số chỉ trong vài ngày. Vì vậy, để làm cho chi phí quản trị thấp nhất có thể, tôi thiết lập các quyền như sau:

  • Nhóm người dùng - Cho phép - Liệt kê nội dung thư mục
  • Nhóm người dùng - Cho phép - Viết
  • CHỦ SỞ HỮU SÁNG TẠO - Cho phép - Sửa đổi

Tôi đặt quyền, Nhấn OK và mọi thứ đều hoạt động. Sau đó, khi tôi quay lại để thêm nhóm trình quản lý nội dung vào tab Bảo mật, tôi nhận thấy một điều gì đó kỳ lạ. Mục nhập "CHỦ SỞ HỮU SÁNG TẠO" đã chuyển từ Sửa đổi thành Đặc biệt. Tôi đi đến Quyền nâng cao và tôi nhận thấy rằng "CHỦ SỞ HỮU TẠO" chỉ áp dụng cho "Chỉ các thư mục con và tệp". Sau đó, tôi cố gắng đặt lại trình đơn thả xuống "Áp dụng cho" thành "Thư mục này, các thư mục con và tệp" nhưng nó sẽ chuyển trở lại ngay sau khi tôi nhấn "Áp dụng".


Cảm ơn

answer

Các mục kiểm soát truy cập CREATOR OWNER phải luôn ở dạng chỉ kế thừa, vì chúng không có ý nghĩa gì khi áp dụng cho bất kỳ đối tượng thực tế nào. Khi sử dụng các phiên bản Windows gần đây với API hiện đại, tất cả các mục nhập của CHỦ SỞ HỮU TẠO sẽ tự động được đánh dấu là chỉ kế thừa.

Trong GUI nâng cao, cờ chỉ thừa kế được dịch là "Chỉ các thư mục con và tệp". Thay đổi nó thành "Thư mục này, các thư mục con và tệp" sẽ có tác dụng xóa cờ chỉ thừa kế, điều này không thể thực hiện được đối với CHỦ SỞ HỮU CREATOR. GUI cơ bản có lẽ không nên hiển thị điều này là Đặc biệt, nhưng tôi đoán MS không nghĩ đến trường hợp đặc biệt này.

CREATOR OWNER chủ yếu dành cho cấp phép động khi mọi người tạo nội dung trong một thư mục mà họ có quyền thông thường thay vì cấp phép lười biếng. Nếu bạn nghĩ về nó theo cách này, khái niệm có thể có ý nghĩa hơn.

Đây chỉ đơn giản là một hạn chế của ánh xạ giữa các ACL POSIX có sẵn trong Linux và Windows ACL.

Nói về một thư mục, trong POSIX ACL, bạn có thể gán quyền mặc định cho các mục được tạo bên trong. Bạn có thể làm điều đó một cách rõ ràng đối với người dùng và nhóm được đặt tên, nhưng có hai giá trị mặc định áp dụng cho chủ sở hữu tương lai (người dùng và nhóm) của tệp / thư mục sẽ được tạo.

default:user::rwx
default:group::r-x

Chúng được ánh xạ tới CREATOR OWNERCREATOR GROUPtương ứng. Chúng không áp dụng cho thư mục hiện tại, vì vậy khi bạn nhìn vào giao diện người dùng Windows, bạn sẽ thấy rằng chúng áp dụng cho Subfolders and files only. Windows sẽ coi đó là quyền đặc biệt và hiển thị như vậy.

Đối với mỗi thư mục, bạn cũng có quyền được chỉ định cho chủ sở hữu và nhóm

user::rwx
group::rwx

Tuy nhiên, chúng sẽ được dịch ngay lập tức sang chủ sở hữu và nhóm thực sự khi được Windows truy vấn. Ngay cả khi bạn cũng cấp cho CHỦ SỞ HỮU SÁNG TẠO quyền đối với thư mục này, thay đổi này sẽ bị mất - vì Windows sẽ coi đó là sự thay đổi đối với quyền đối với chủ sở hữu thực sự.

Vì vậy, trong giao diện người dùng, bạn có thể thấy:

Unix User - Root   - Full Control, This folder only
Unix Group - Root  - Full Control, This folder only
CREATOR OWNER      - Full Control, Subfolders and files only
CREATOR GROUP      - Read and execute, Subfolders and files only

Thật không may, tôi không biết bất cứ điều gì để hợp nhất nó thành bất cứ điều gì dễ đọc hơn.

Và nó chỉ trở nên ít phức tạp hơn một chút khi xử lý các ACL NFSv4 ...

quyền "chủ sở hữu người tạo" - "các thư mục con và tệp thư mục này" bị hệ thống hạn chế ở "chỉ các thư mục con và tệp".

Người dùng, người sáng tạo, không thể tạo thư mục của nó.