这可能已在其他地方被问过,但我找不到符合我们确切标准的问题。
我们有一个运行文件共享的 Windows Server 2016 标准系统。在其中一个共享中,我们有一个文件夹(在本示例中,共享称为“GeneralShare”,该文件夹是“ControlledFolder”)。我们希望将文件夹本身列在共享中,但不允许任何不在 AD 中的“ControlledFolderAccess”组中的用户访问数据。因此,任何不在“ControlledFolderAccess”组中的用户都会知道该文件夹存在,但无法看到其中的内容。(我们也有隐式访问规则,例如系统和本地管理员(和域管理员)也有权限。)
我们已经尝试了一组权限,调整了读/写/执行以及中间特殊权限的所有迭代,还尝试了“拒绝”权限。但是,我们还没有找到可以正确包含这些规则的适当规则集。
有谁知道我们需要设置哪些特定规则来阻止用户进入目录但仍然看到该目录存在于共享本身中?
这是我们在测试目录中尝试和复制的内容:
GeneralShare 权限:
允许规则:
- 域管理员:完全控制
- 本地系统管理员:完全控制
- 域用户:修改
- 系统用户:完全控制
拒绝规则:
- 没有任何
GeneralShare/ControlledFolder 规则:
(无继承)
允许规则:
- 域管理员:完全控制
- 本地系统管理员:完全控制
- ControlledFolderAccess:完全控制
据我了解,这些权限应该可以工作......我们是否在某处遗漏了拒绝规则,或者 Server 2016 的标准行为刚刚改变?(在具有其他共享的 2012R2 服务器上,这些相同的权限按预期工作,如果我们不是管理员并且没有显式访问权限或不在 ControlledFolderAccess 组中,我们可以看到该文件夹但无法访问它。 . 但在 2016 年,这些文件夹只是没有显示这些权限集)
听起来在父共享上启用了基于访问的枚举,这会阻止用户查看他们无权访问的文件夹。如果您在父共享上禁用 ABE,则应该允许他们查看但不能访问有问题的文件夹。