多个用户组中的用户没有获得正确的权限

一些介绍:我不是服务器pipe理员,但是我为一家小型软件公司提供技术支持,他们的产品要求用户拥有对服务器上映射驱动器的完全控制权限,以共享多用户使用所需的文件。 我相信我们的软件使用Access数据库。

我的问题是,假设您有三个用户,A,B和C.为了使我们的软件正常工作,用户需要完全控制Z:驱动器的权限(而不仅仅是读/写)。 假设用户组A和B对Z:驱动器具有完全控制权,但用户组C对Z:没有任何权限。 如果用户是所有三个用户组的成员,会不会有一个他们没有完全控制Z驱动器的情况?

我相信我已经看到了这个与一家公司,他们有我们的软件的问题,我们让他们的所有用户群体完全控制,问题消失了,但我想多一点信息,如何用户组和权限是设置,如果这可能会导致我们的软件的问题。 FWIW,我没有办法改变我们的软件中编程的东西,所以build议它应该以不同的方式工作(这可能是应该的)是徒劳的。

关于Windows权限,有两组权限:NTFS权限和共享权限。

关于NTFS权限:NTFS权限是累积性的,并使用最小限制的机制。 属于多个组的成员的用户将具有授予每个组的NTFS权限的顶点限制性最低的权限。

关于共享权限:与NTFS权限结合使用时,限制性更强的权限占上风。 例如,如果用户或组具有NTFS完全控制权限,但共享权限是Everyone |则那么对于任何用户或组的有效权限(限制性更强的权限)为Read。 要确定用户或组的有效权限,请确定有效的NTFS权限,然后确定有效的共享权限,然后确定“组合”NTFS和共享权限的限制性更强的权限,这些权限是用户或组的有效权限。 大多数pipe理员select将共享权限设置为Everyone |完全控制,然后通过NTFS权限“控制”访问权限。

拒绝权限几乎总是优先于允许权限,除非显式允许覆盖inheritance的拒绝。 NTFS权限的优先级可以总结如下:

显式拒绝

显式允许

inheritanceDeny

inheritance允许

我敢肯定,只要没有一个组明确否认这个权限,就不会有问题…至less在Windows服务器上。

那么这里涉及到多层权限。 我只是假设它是与NTFS的Windows,但同样适用于其他符合CIFS / SMB的操作系统/文件系统。

首先,您具有Share level权限,然后您具有文件系统级别的权限。 确保您在两个级别上授予对相应组的访问权限。

如果用户是所有三个用户组的成员,会不会有一个他们没有完全控制Z驱动器的情况?

是的,如果您在一个组中显式拒绝,或者您的共享/文件系统权限不匹配