我们正在从 Novell Netware 迁移到 Windows 2K8 R2 基础架构(AD、文件服务器、打印服务器等)
我的问题是关于 ACL。虽然 Netware 和 Windows 完全不同,但我想在搞砸一切之前确保我的想法是正确的!
有一个场景:
F:
|
+-- DATA <= Shared as DATA with Access based enumeration
|
+-- Folder 1
+-- Team 1's Folder
+-- Team 2's Folder
...
在这种情况下,默认情况下,权限从 F: 继承到最深的文件夹。
我们想要什么:
- 管理员组具有自上而下的完全控制权。
- 在 DATA 中,ABE 仅列出用户有权访问的文件夹。(例如:我在 Team 2 组中,我看到 Team 2 的文件夹)。
据我了解,在 DATA 我删除了所有要继承的 NTFS ACL(例如用户组),一定要保留管理员组和 SYSTEM 用户。
之后,将每个文件夹的完全控制权(或任何需要的权限)授予必须具有访问权限的组或用户。
我错了吗?有什么我应该注意的吗?
对我的理解有任何帮助将不胜感激。
问候。
正确的。
我倾向于不授予 users
Full Control,因为我有太多的权限混乱。所以我授予他们所有权限,除了Take Ownership和Change Permissions权限。而且我可能建议为您授予访问权限的每个文件夹设置两个组:一个用于只读访问,一个用于修改访问,因为根据我的经验,这往往会出现很多,而且可以的人越少不小心删除了所有文件,我从备份中恢复的次数就越少。
我肯定会做的一件事是启用 ABE 适用的文件夹深度限制。如果没有此限制,可能会出现严重的性能问题。实际适当的限制只能由您确定,下面是深度为 3 的示例。这需要 srv2.sys 文件版本 6.1.7601.22055 或更高版本。
更多信息:
启用 ABE 的 Windows Server 2008 R2 上的 CPU 使用率过高
http://support.microsoft.com/kb/2732618
[...]
上述键的值设置如下:
值 = 0:为所有级别启用 ABE(默认行为也没有键)
值 = 1:为深度 1(\server\share)启用 ABE )
值 = 2:为深度 2 (\server\share\folder) 启用 ABE
等多个级别。