iT邦幫忙

0

請教Windows NTFS權限 父項繼承設定技巧?

cdrw 2014-08-31 07:06:414056 瀏覽

檔案系統為NTFS,作業系統 Windows 7
想要目錄權限設定如下:

Dir1 一般User 無法在此創建目錄與檔案
+--- group1 只有該部門group1有權限可以存取 最好其他User看不到這目錄
+--- Public everyone 可以存取寫入

當然這只是簡單的範例,實際上目錄很多,加上使用者權組也很多個
不知道我要怎善用父項繼承 減少一大堆目錄權限設定的麻煩。

我想到兩種方法:

  1. 子目錄全部 設定取消 "包括從此物件的父項繼承而來的權限"
    Dir1
    +--- Group1 設定取消 "包括從此物件的父項繼承而來的權限" 針對此目錄設定權限
    +--- Public 設定取消 "包括從此物件的父項繼承而來的權限" 針對此目錄設定權限

缺點: 每個目錄要一個個設定,加上群組數量很多,萬一設定錯誤,有可能會造成
低權限的使用者,存取到不該存取的目錄,有資安的風險。

2). 權限累加, 父目錄設定嚴格,也就是子目錄全部 "包括從此物件的父項繼承而來的權限"

Dir1 取消 "包括從此物件的父項繼承而來的權限" 設定較嚴格的權限
+--- Group1 增加Group1 權組 存取權限 設定 "包括從此物件的父項繼承而來的權限", +----Public 增加everyone權限 設定 "包括從此物件的父項繼承而來的權限"

優點:權限累加: 萬一設定錯誤 至少只是使用者回報沒權限存取, 至少沒資安風險

請問各位有經驗的管理者,請問我應該怎設定會比較好,還是這兩種方法都不好。

我目前是用第二種方法,但現在的問題是
在Group1下, 有些使用者自行在此建立子目錄,會造成其他人無法無權限 可以存取
Ex: 某使用者建立user21目錄
Group1
+---- User21
User21 沒繼承到Group1的權限,也就是 "包括從此物件的父項繼承而來的權限" 並沒有被啟用。

這問題是我目前設定策略有問題,還是有些地方漏掉設定,我該怎解決。

不好意思,不太會說明這問題,如果有說明不清楚,我再補充

1 個回答

0
julian
iT邦新手 4 級 ‧ 2014-09-02 09:59:33

我之前的方法,
因為使用者以及部門在我的AD上都已經存在了,
所以我把帳號匯出,透過EXCEL整理指令,
我用了cacls以及net share兩個指令來處理,
可能不是甚麼好辦法,不過省去了點來點去,容易會錯亂的錯誤,

我要發表回答

立即登入回答