最近被 windows 目錄共用與ntfs權限設定 搞得七葷八素的,還不是很會活用,以下是我在微軟論壇詢問的問題 與解答。

[問]:
想請問一下 我使用WIN SERVER 2003 有網域
已有一群組Grp_a 內含user_id a1,a2,a3,a4,a5,a6,a7,a8,a9,a10
該群組內的人必須可以在個人xp內連結網路磁碟機 x: 至 \\9.9.9.9\d:\DDD


例:NET USE x: \\9.9.9.9\DDD\ 後,可存取 X:\下個人的目錄,
但不能在X:\目錄下建立任何目錄檔案,也不能讀取任何非自己目錄下的任何檔案>

如:X:\根目錄下 GRP_A內所屬的人都不能建立讀取任何目錄檔案;
X:\A1\則只能由a1使用者可以存取,其他人都不能進來,
X:\A2\則只能由a2使用者可以存取,其他人都不能進來..以此類推.

目前我的作法是
1.D:\DDD\設定共用,共用權限 設定 給GRP_A 允許 變更及讀取。
2.D:\DDD\的安全性,權限設定 給GRP_A 拒絕 完全控制。
3.D:\DDD\A1 取消父項繼承勾勾,再加入使用者A1 允許 變更及讀取,再逐一加入a2,a3,a4,a5,a6,a7,a8,a9,10 拒絕 完全控制。....其他子目錄也是一樣的設定方式

做完後 發現我這樣要做 很沒效率 每設定1個目錄每個人都要設定誰可以存取,誰不能存取,但不這樣設,就會有漏洞,可能我的觀念還太差,想問有沒有甚麼好辦法,可以有效率的設定這樣的權限?

[答]:
共用的地方開Everyone 變更及讀取
(安全性的部分由NTFS處理)

在資料夾的安全性處理
父系資料夾 DDD 開給GRP_A 讀取及資料夾清單權限

D:\DDD\A1 資料夾
1. 父項繼承取消,並移除原本繼承來的GRP_A群組
2. 將使用者 A1 加入完整存取的權限

補充一下回答的部分:
1.共用的地方開Everyone 變更及讀取
  (安全性的部分由NTFS處理)
  
   -->以前我都誤會了,以為公用開了,其實Ntfs權限不開也是
         有存取權,其實兩個都要開,權限再取其嚴謹的一方,
         這也就是為何回答 目錄要給到everyone的變更
         (因為若只給讀取,後面ntfs再給怎麼大,也都只是讀取),

   共用開Everyone的部分,其實見仁見智,我比較不贊成,
   開EveryOne對系統管理者是比較輕鬆,若有新的權限
   要設定都只要設ntfs權限,但是若是有一些有心人士,
   進得了公用的目錄,雖然其他子目錄可以靠ntfs權限控管,
   總是不太好。

2.父系資料夾 DDD 開給GRP_A 允許讀取及資料夾清單權限
   改為父系資料夾 DDD  取消『父項繼承...』,按下『複製』鈕,
   刪除『USERS』群組,新增『GRP_A』群組,
   給予權限『清單資料夾內容』。

   因為一個目錄預設可存取的群組為
   administrators --->允許完全控制
   creator owner --->允許完全控制
   system            --->允許完全控制
   users              ---->允許讀取與執行,清單資料夾內容,讀取

   而一般登入的人均屬於users群組,所以要記得刪掉users群組,
   這就是為何 我在a1子目錄明明只有加入該a1使用者可存取,
   但是其他使用者a2也可以存取的原因。

3.在D:\DDD\A1 資料夾
   1.父項繼承取消,並移除原本繼承來的GRP_A群組
      -->中間會有詢問是否複製或移除原有權限,選【複製】,
            再將grp_a群組移除。


    2. 將使用者 A1 加入完整存取的權限
        -->加入【完整存取】的權限,這裡也要看狀況,
              要是你的狀況是這些目錄下的子目錄是固定大家都要有
              的,你不希望user去刪除的,
              可能就不能給【完整存取】,給到【變更】就好了。
2008-10-27 05:28

全站熱搜

味味A 發表在 痞客邦 留言(0) 人氣()