背景
在过去的几周里,我试图修改我们公司的 Active Directory 和用户组设置。但是,由于缺乏适当的文档,在进行更改后,意外的副作用开始出现。
我遇到的最后一个问题是关于网络共享。
由于多代 IT 人员在这家公司工作过,他们每一个人都对 Active Directory 进行了更改,但他们都没有编写文档。因此,Active Directory 和 GPO 已经发展到变得混乱的地步。我决定解开这个烂摊子并开始研究它。
基础设施
有一台域控制器和一台终端服务器。我们使用终端服务。用户通过远程桌面连接连接到终端服务器并在那里完成大部分工作。
用户可以访问从域控制器共享的一些网络共享。
问题
我将通过示例说明问题: UserA是 Group 的成员X。我A从组中删除X。然后用户无法访问网络中共享的文件夹。
我检查了Properties这个文件夹。
Sharingtab -->Advanced Sharing-->Permissions: 包括组Everyone和Administrators[1]Security选项卡 --> 在Groups or Username部分下,列出了SYSTEM和Administrators组X。[2]
那么为什么当我A从组中删除用户时X,A无法访问此共享文件夹。用户不A被视为Everyone用户组的一部分。他不应该通过Everyone组拥有所有权限吗?
概括我的问题。相互之间如何Sharing Permissions合作Security Permissions?它们之间有什么依赖关系。
基本上,这是否意味着当我想与某个用户组共享一个文件夹时,该组必须同时在Shared Permissions [1]和中列出Security Permissions [2]?
共享权限和 NTFS 安全权限是分层的。用户必须在每一层都具有访问权限才能访问共享。
共享权限是一个遗留概念,因此大多数管理员将它们设置为“所有人”并在 NTFS 级别处理 100% 的访问控制。这似乎就是这里发生的事情。您所描述的是预期的行为。
以下技术网文章对此进行了解释:共享和 NTFS 权限