iT邦幫忙

0

file server 時常有些檔案權限消失

系統環境 WinSer 2012R2
分享資料夾存放空間是使用iSCSI 連線到QNAP上
資料約有6TB

這是正常的檔案權限
每個部門都會有一個權限 (資訊部為例)

https://ithelp.ithome.com.tw/upload/images/20190328/20116482TSG6X3VwCn.png

但偶而有些檔案不聽話,會吃不到部門權限
https://ithelp.ithome.com.tw/upload/images/20190328/20116482MLdIZUpg7M.png

這樣使用者們就無法動這些資料

而這樣的權限配置是總資料夾Share最上層的配置

下層部門資料夾停用繼承權限、移除every、加入各部門權限

估狗過,有可能是開稽核導致效能不好
但稽核也僅開啟三項
https://ithelp.ithome.com.tw/upload/images/20190328/20116482Xacxul9iZU.png

這問題困擾我許久,出現此狀況時,都需要使用admin
把這些檔案剪下、在貼上原本位子,才吃的到該部門權限

各位在座的高手們~~
有沒有遇過相似的問題呢
謝謝

看更多先前的討論...收起先前的討論...
檢查一下問題的檔案的擁有者是誰? 用什麼方法寫進來的.
h1324512 iT邦新手 5 級 ‧ 2019-03-28 14:25:04 檢舉
在進階中,有個勾,可取代子資料夾的權限,那個勾有勾嗎?勾一次就行了
回m大
擁有者是檔案伺服器的 Admin群組; 如何檢查用什麼方法寫入的?
回h大
目前沒勾,勾了有幫助嗎?
納貝 iT邦新手 3 級 ‧ 2019-03-29 16:20:05 檢舉
叫你檢查擁有者是誰只是幫你判斷是誰把檔案丟上來的,如果是印表機之類的你看到admin就沒辦法知道了。然後m大應該是叫你去問那個相關的user怎麼搬檔案進來的,因為他知道我回答裡說的剪下貼上的問題存在。
那個勾用來一次性把子資料夾跟檔案的權限變成一樣的權限,而且那些子資料夾跟檔案,user如果沒有full control就不能隨意更改繼承來的權限,這只針對既有的檔案....剪下貼上來的就......GG
納貝 iT邦新手 3 級 ‧ 2019-04-09 15:33:28 檢舉
希望我下面的回答有幫到你喔,可以的話請選我為最佳解答,我最近在沖積分,謝囉

1 個回答

2
納貝
iT邦新手 3 級 ‧ 2019-03-28 17:09:18

跟稽核沒關係,你的情況是檔案權限被覆蓋,導致無法繼承父項權限。
說明白一點,就是這個檔案是被人"剪下"之後"貼上"的。因為這個搬移的動作,預設是把檔案原始位置的權限照抄到目的地,所以就繼承不了父項權限。

請user在建立或更新檔案時,必須要從共享資料夾裡去新建,或者用"拷貝"之後"貼上"的方式去複製一個新檔案在共享資料夾。

看更多先前的回應...收起先前的回應...
納貝 iT邦新手 3 級 ‧ 2019-03-28 17:11:57 檢舉

例外一提,如果共享資料夾下,那個檔案本身就存在的話,不論user怎麼覆蓋、複寫他,都不會改變到檔案的權限的。
所以你這種問題多半是發生在一個新出現的檔案身上,要不然就是user每次都先把檔案搬走,更新完又丟上來。

石頭 iT邦新手 2 級 ‧ 2019-03-28 17:19:20 檢舉

我也常遇到 "剪下"的東西權限都是之前的...

納貝 iT邦新手 3 級 ‧ 2019-03-28 17:27:50 檢舉

被陰過幾次都會很有警惕啊.....XD

skateboard929 謝謝您的回應

就是這個檔案是被人"剪下"之後"貼上"的。因為這個搬移的動作

使用者確實是用這樣的動作處理這些檔案,但使用者才不會想這麼多

用"拷貝"之後"貼上"的方式去複製一個新檔案

使用者會覺得很麻煩

所以你這種問題多半是發生在一個新出現的檔案身上

有影印機掃描時的PDF檔,偶而會發生這種狀況,還有從HR系統、IE,另存新檔的時。偶而也會發生

請問S大,這種狀況有解嗎?

納貝 iT邦新手 3 級 ‧ 2019-03-29 16:11:12 檢舉

提供你一個比較可行的做法,作為一個MIS或IS,如果你權限太大可以看到其他部門的共享檔案,對公司來說這其實是有安全疑慮的。

所以比較適當的做法,就是把權限下放,然後把自己的權限收回。由使用者負責自己的行為,而當使用者求救的時候,你只需要說明自己沒有權限去看(或管理)他們部門檔案,他們自然就會乖乖地學好檔案管理。

舉個實際例子:
公司有AB兩個部門和一個file server,平時都是靠MIS維護這些檔案權限的,但是如果要把權限下放然後把自己抽走。要做的事情如下:

File Server上首先要建立各部門自己的資料夾
\A部門資料夾\部門資料夾
\B部門資料夾\部門資料夾
(為什麼要建兩層資料夾我後面會說明)

當然各部門之間一定會有某些檔案是互相都要共用的,所以還要另外建立一個資料夾叫
\A_B_共享資料夾\

然後,在域控制器AD上創建6個使用者群組,如下
A部門資料夾_Full (Members包含A部門經理跟老闆)
A部門資料夾_User (Members包含全部的A部門的員工)
B部門資料夾_Full (Members包含B部門經理跟老闆)
B部門資料夾_User (Members包含全部的B部門的員工)
ShareFolderAB_Full (包含AB兩個部門的經理跟老闆)
ShareFolderAB_User (包含AB兩個部門的員工)

然後回到FileServer,在\A部門資料夾\上做資料夾權限的異動
加入A部門資料夾_Full,權限設定為Read only
加入A部門資料夾_User,權限設定為Read only
(在這一層資料夾我們不直接把相關群組設為Full Control,原因是我們要確保MIS擁有這一層的控制權,也就是說部門主管如果想讓其他部門的人看到自己部門的資料夾,需要透過MIS來操作,因為這違反我們初衷。)

然後,才是在"\A部門資料夾\部門資料夾"這個資料夾做應該給的權限設定,如下:
加入A部門資料夾_Full,權限設定為Full Control
加入A部門資料夾_User,權限設定為Read only (或Read+Write,視乎需求)

同理B部門資料夾跟子資料夾也是相應的設定,設定好之後。你就可以把administrators的權限抽起來了,以後MIS再也碰不了各大部門檔案(準備開party了)。

關於這個"\A_B_共享資料夾"的設定,就是把AB兩個部門的人都設定為可以read only這個資料夾,然後再建立個子資料夾(by project),把相應的Full control或read+write權限丟給他們,就可以把administrators抽起來了。

以上方法看起來好像多了很多前期工作要做,但是在系統管理的角度來看,符合"一慣性"跟"易控制性"的思維,覺得對於50人或以上的團隊,還蠻值得做的,希望幫到你。

skateboard929

這看來是要把整個分享資料夾結構做變更,工程浩大

本是想要用一個Share資料夾當統一入口
讓大家方便使用

若要用目前架構
只要剪下貼上,就會有寫入權限失效的BUG出現

最好的方法就是S大的架構

謝謝s大的解法

我要發表回答

立即登入回答