目前,我正在使用 Windows Server 2012 Active Directory 处理网络上文件的权限,如下所示:我设置了一个域控制器,在域控制器上创建用户和组。之后,我选择一个文件夹进行共享,并在共享选项中添加具有读/写访问权限的每个人(我这样做是因为有人告诉我这样做会带来问题)。
然后在子文件夹上,为了限制访问,我在文件夹属性的安全选项卡上添加了我想拒绝访问并拒绝读/写权限的组。
这很好,但是,我发现这不是一个好方法。实际上,如果不断添加组,并且一个文件夹仅由一组访问,我将始终需要添加新的并拒绝访问它们。
一种可能发生这种情况的现实生活场景如下:一家公司有项目文件夹,每个项目都有特定的员工子集。所以他们为每个项目创建一个组,然后在项目的文件夹中,只有该特定项目的组应该有权访问。如果添加了新项目,则需要在每个项目文件夹中添加新组,这可能很乏味。
那么,如何在添加新组时更有效地拒绝对文件和文件夹的访问,而无需编辑安全选项?
为什么要使用拒绝 ACE?你应该做这样的事情:
等等。您不应该经常使用拒绝 ACE。在过去的 10 年中,我可能想到了 3 次我曾经在 NTFS ACL 上使用过拒绝。