对于某些人来说,这可能是一个非常基本的问题,但我想知道我是否遗漏了什么。我想避免创建和管理另一个 AD 组来实现我的目标,在这种情况下,创建该组是不可避免的。
一旦决定创建另一个组,解决方案就很简单了;将除管理员之外的所有人添加到 AD 组。然后,添加此组并拒绝“删除”NTFS 权限,并让其继承到子文件夹和文件。
您必须使用 PowerShell 执行此操作,因为您无法通过属性中的“安全”选项卡搜索 AD 组(它将搜索存储帐户计算机 AD 对象,因此它将找不到创建的 AD 组)。
这是我用来添加组和拒绝权限的脚本:
#Define variables
$aclPath = "\\Path\to\share"
#Get needed ACL from path/file
$acl = Get-ACL -Path $aclPath
#Show current state of ACL
Write-Host "===================="
Write-Host "Current ACL"
Write-Host "===================="
$acl | Format-List
#Do NOT Remove current permissions and inherited permissions
$acl.SetAccessRuleProtection($false,$false)
#Configure and Set new Access Rule
$accessRule = New-Object System.Security.AccessControl.FileSystemAccessRule("domain\ADGroup", "delete", "containerInherit,objectInherit", "inheritOnly", "deny")
$acl.SetAccessRule($accessRule)
$acl | Set-ACL $aclPath
#Show new state of ACL
Write-Host "===================="
Write-Host "New ACL"
Write-Host "===================="
$acl | Format-List
Read-Host -Prompt "Press any key to close..."
对于某些人来说,这可能是一个非常基本的问题,但我想知道我是否遗漏了什么。我想避免创建和管理另一个 AD 组来实现我的目标,在这种情况下,创建该组是不可避免的。
一旦决定创建另一个组,解决方案就很简单了;将除管理员之外的所有人添加到 AD 组。然后,添加此组并拒绝“删除”NTFS 权限,并让其继承到子文件夹和文件。
您必须使用 PowerShell 执行此操作,因为您无法通过属性中的“安全”选项卡搜索 AD 组(它将搜索存储帐户计算机 AD 对象,因此它将找不到创建的 AD 组)。
这是我用来添加组和拒绝权限的脚本: