味味A

最近被 windows 目錄共用與ntfs權限設定 搞得七葷八素的，還不是很會活用，以下是我在微軟論壇詢問的問題 與解答。

[問]:
想請問一下 我使用WIN SERVER 2003 有網域
已有一群組Grp_a 內含user_id a1,a2,a3,a4,a5,a6,a7,a8,a9,a10
該群組內的人必須可以在個人xp內連結網路磁碟機 x: 至 \\9.9.9.9\d:\DDD

例:NET USE x: \\9.9.9.9\DDD\ 後，可存取 X:\下個人的目錄,
但不能在X:\目錄下建立任何目錄檔案，也不能讀取任何非自己目錄下的任何檔案>

如:X:\根目錄下 GRP_A內所屬的人都不能建立讀取任何目錄檔案；
X:\A1\則只能由a1使用者可以存取,其他人都不能進來，
X:\A2\則只能由a2使用者可以存取,其他人都不能進來..以此類推.

目前我的作法是
1.D:\DDD\設定共用，共用權限 設定 給GRP_A 允許 變更及讀取。
2.D:\DDD\的安全性，權限設定 給GRP_A 拒絕 完全控制。
3.D:\DDD\A1 取消父項繼承勾勾,再加入使用者A1 允許 變更及讀取,再逐一加入a2,a3,a4,a5,a6,a7,a8,a9,10 拒絕 完全控制。....其他子目錄也是一樣的設定方式

做完後 發現我這樣要做 很沒效率 每設定1個目錄每個人都要設定誰可以存取,誰不能存取，但不這樣設，就會有漏洞，可能我的觀念還太差，想問有沒有甚麼好辦法，可以有效率的設定這樣的權限?

[答]:
共用的地方開Everyone 變更及讀取
（安全性的部分由NTFS處理）

在資料夾的安全性處理
父系資料夾 DDD 開給GRP_A 讀取及資料夾清單權限

D:\DDD\A1 資料夾
1. 父項繼承取消，並移除原本繼承來的GRP_A群組
2. 將使用者 A1 加入完整存取的權限

補充一下回答的部分:
1.共用的地方開Everyone 變更及讀取
  （安全性的部分由NTFS處理）
  
   -->以前我都誤會了，以為公用開了，其實Ntfs權限不開也是
         有存取權，其實兩個都要開，權限再取其嚴謹的一方，
         這也就是為何回答 目錄要給到everyone的變更
         (因為若只給讀取,後面ntfs再給怎麼大,也都只是讀取)，

   共用開Everyone的部分，其實見仁見智，我比較不贊成，
   開EveryOne對系統管理者是比較輕鬆，若有新的權限
   要設定都只要設ntfs權限，但是若是有一些有心人士，
   進得了公用的目錄，雖然其他子目錄可以靠ntfs權限控管，
   總是不太好。

2.父系資料夾 DDD 開給GRP_A 允許讀取及資料夾清單權限
   改為父系資料夾 DDD  取消『父項繼承...』，按下『複製』鈕，
   刪除『USERS』群組，新增『GRP_A』群組，
   給予權限『清單資料夾內容』。

   因為一個目錄預設可存取的群組為
   administrators --->允許完全控制
   creator owner --->允許完全控制
   system            --->允許完全控制
   users              ---->允許讀取與執行,清單資料夾內容,讀取

   而一般登入的人均屬於users群組，所以要記得刪掉users群組，
   這就是為何 我在a1子目錄明明只有加入該a1使用者可存取，
   但是其他使用者a2也可以存取的原因。

3.在D:\DDD\A1 資料夾
   1.父項繼承取消，並移除原本繼承來的GRP_A群組
      -->中間會有詢問是否複製或移除原有權限，選【複製】，
            再將grp_a群組移除。

    2. 將使用者 A1 加入完整存取的權限
        -->加入【完整存取】的權限，這裡也要看狀況，
              要是你的狀況是這些目錄下的子目錄是固定大家都要有
              的，你不希望user去刪除的，
              可能就不能給【完整存取】，給到【變更】就好了。
2008-10-27 05:28