iT邦幫忙

1

Windows Files Server權限管理問題

系統平台:Windows Server 2012R2
問題描述:
 在分享資料夾移除了Domain Users,改設定群組權限
群組權限設定為可變更、讀取,分享資料夾的根目錄、預計供存放檔案的資料夾就可以新增檔案
群組權限設定為讀取,分享資料夾的根目錄、預計供存放檔案的資料夾就變成無法寫入檔案
是否有辦法鎖死Windows Files Server分享資料夾的第一層,不讓使用者可以新增、或刪除現有的資料夾、檔案?但第二層的資料夾則依照權限來允許開啟、唯讀、可讀寫的限制?

範例:
  分享資料夾名稱「A」,下面有「1、2、3、4、5」個各自權限的資料夾。
 使用者或群組無法在分享資料夾A內建立名稱為6的資料夾或檔案
使用者或群組可以在分享資料夾A內的1-5的資料夾中,新增、修改文件或資料夾

圖片:
https://ithelp.ithome.com.tw/upload/images/20181025/20006167xBa8fyo2st.jpg
https://ithelp.ithome.com.tw/upload/images/20181025/20006167LaULYH5d3g.jpg

看更多先前的討論...收起先前的討論...
小成 iT邦高手 10 級 ‧ 2018-10-24 08:27:07 檢舉
假設 群組名是G
A資料夾設定:
  共用權限 :G => 變更、讀取
   進階安全性 :G => 點列出資料夾,其它必要的會自己打勾

1 資料夾設定:
進階安全性:G => 點[修改],其它必要的會自己打勾

其它子資料夾類推
我現在是這樣設定,但是就會出現問題
A資料夾因共用權限有變更,變成G群組的使用者可以在A資料夾新增了不同的資料夾與檔案。
所以想請教有不同的做法嗎?
謝謝小成前輩的指教。
請參考樓下 CalvinKuo 大的說明
CalvinKuo iT邦大師 7 級 ‧ 2018-10-24 09:13:55 檢舉
敝公司是這樣設:
分享權限: 全部使用者群組 讀取/寫入
NTFS權限:
A資料夾 全部使用者群組 讀取
子資料夾1 取消繼承後 複製權限 + 業務部群組 修改權限
子資料夾2 取消繼承後 複製權限 + 製造部群組 修改權限
餘類推..
CalvinKuo 方式剛剛測試過,是OK的
太久沒搞,有點錯亂,筆記中
小成 iT邦高手 10 級 ‧ 2018-10-24 13:52:06 檢舉
三發大你好像講反了,共用權限只有讀取,這樣裡面子資料夾的進階安全性設定再大,都還是只有讀取。
理由是你設定共用只會在根目錄設定設定共用,但是子資料夾並不會一個個進去設共用,那如果你共用權限設定只有唯讀,那這個共用就是只有唯讀,影響包括其下所有子資料夾跟檔案。除非你有要額外針對某一個子資料夾設定一個新的共用,那麼這個新的共用就會跟原本的上層共用的權限就會無關。
CalvinKuo大講的跟我是一樣的,共用權限要開寫入是沒錯的。
小成 iT邦高手 10 級 ‧ 2018-10-24 13:52:54 檢舉
@shadowpeople
貼圖出來,全部怎設定的,可以把使用者名稱遮掉一小部分,看看是不是有額外的東西導致影響了,
我猜是你進階安全性那邊有留 Authenticated Users 跟 Users 導致
@小成前輩
1. 允許授權的部分我昨日的測試就是如您上面所說的那個樣子,當我在共用權限設定的群組允許讀寫資料夾時,內部的資料夾就會允許被寫入,就算我在資料夾的安全性裡面設定唯讀也一樣。反之則就算安全性設定了允許讀寫,只要共用權限是唯讀,就沒辦法寫資料進去。
2. 三發大大也沒講錯,因為在分享權限已經設定成可讀寫了,所以內部資料夾就可以透過安全性來修改權限。
3. 我現在的問題並非純粹的讀寫問題,而是讀寫資料夾的限制,就如一開始提到的,分享了A資料夾(網路分享名稱為 A ),A資料夾內有 12345個子資料夾,想達到分享的目的是G群組可以在12345的資料夾內,新增、刪除、修改12345子資料夾內的檔案或資料夾,但是不能在A資料夾內(跟12345資料夾同一層)新增6789的資料夾或檔案。當我設定共用資料夾G群組可讀寫時,變成G群組可以在12345子資料夾內新增檔案外,連A資料夾都可以新增。
4. 進階安全性除了SYSTEM、Administrator、Domain Admin外,僅剩G群組。分享權限也僅有設定G群組。
misadm iT邦高手 10 級 ‧ 2018-10-25 09:30:24 檢舉
應該是權限繼承的問題。
先將你最外層的資料夾的共用權限設成『讀寫』,然後再去最外層資料夾的『安全性』設定為『唯獨』。

接下來,在『每個』第一層資料夾的『安全性』中,阻斷繼承,並選擇『複製權限』,再來只留下『本機\Administrators』、『Domain Admins』,最後再加上你要讓他讀寫的群組。

請注意,只有最外層的資料夾設定『共用權限』,其他第一層的資料夾不需要再設定共用。

共用權限和安全性權限是取最嚴格的。假設你共用開給『A 群組』唯讀,在安全性中確開『讀寫』,那麼『A 群組』還是只有『唯讀』的權限。並不是取最寬鬆的,這點要注意。
如Misadm前輩所指導的方式,已順利解決,謝謝各位IT界的前輩這麼熱心幫忙。

尚未有邦友回答

立即登入回答