背景
在过去的几个星期里,我试图修改我们公司的Active Directory和用户组设置。 然而,由于缺乏适当的文件,在做出改变之后意想不到的副作用开始出现。
我遇到的最后一个问题是关于networking共享。
由于多代IT人员曾在这家公司工作过,他们每个人都对Active Directory进行了修改,但没有一个人做过文档。 因此,Active Directory和GPO已经发展到混乱的地步。 我决定解开这个烂摊子,并开始研究它。
基础设施
有一个域控制器和一个terminal服务器。 我们使用terminal服务。 用户通过远程桌面连接连接到terminal服务器,并在那里做大部分工作。
用户可以访问某些从域控制器共享的networking共享。
问题
我将通过示例来说明问题:用户A是X组的成员。 我从组X删除A 然后用户无法访问在networking中共享的文件夹。
我检查这个文件夹的Properties 。
Sharing选项卡 – > Advanced Sharing – > Permissions :包括Everyone和Administrators组[1] Security选项卡 – >“ Groups or Username部分下,列出了SYSTEM , Administrators和组X [2] 那么为什么当我从组X删除用户A , A不能访问这个共享文件夹。 不是用户A被认为是Everyone用户组的一部分。 他不应该通过Everyone组拥有所有权限吗?
概括我的问题。 Sharing Permissions和Security Permissions如何相互配合? 它们之间有什么依赖关系?
基本上,这是否意味着当我想要与某个用户组共享文件夹时,该组必须同时在Shared Permissions [1]和Security Permissions [2]列出?
共享权限和NTFS安全权限是分层的。 用户必须在每一层访问才能访问共享。
共享权限是一个遗留的概念,因此大多数pipe理员将它们设置为“Everyone”,并在NTFS级别处理访问控制100%。 这似乎是在这里发生的事情。 你所描述的是预期的行为。
这在以下technet文章中有解释: 共享和NTFS权限