У меня есть общая папка Windows, содержащая двухуровневую иерархию. Разрешения управляются группами безопасности. Интересные разрешения устанавливаются на втором уровне. Папка первого уровня должна быть видна только в том случае, если пользователь может видеть доступ к любой папке второго уровня. Я хотел бы упростить управление первым уровнем за счет «обратного наследования» разрешений. Более того, никто не ожидает, что администраторы должны иметь возможность вносить какие-либо изменения на первом уровне, включая папки второго уровня.
Windows Server 2008 R2 в домене
Иерархия:
Группы group-a1 и group-a2 являются членами group-a-all. Например, выполняющий доступ пользователь является членом группы-a1. Чтобы предотвратить изменения или удаление на втором уровне, я дополнительно определил, что group-a1 не может изменять или удалять в определенной папке.
Пользователь является членом группы-a1. Она видит папку Project A. Но только не Team A1. Только когда я создал папку Fixer с разрешениями, содержащими group-a1. Это работает, даже если разрешение находится за пределами Project A. Таким образом, кажется, что разрешения второго уровня работают, только если эти разрешения (группы безопасности AD) использовались на первом уровне.
Почему это так? Есть ли лучший способ справиться с этим сценарием?
Может быть:
Иерархия:
Team A1 (group-a1, full permission)
Files
Проект A (группа для всех, только чтение в каталоге) Общая папка Команда A2 (группа-a2, полное разрешение) Файлы
Team B1 (group-b1, full permission)
Files
Проект B (группа-b-all, только чтение в каталоге) Общая папка Команда A2 (группа-a2, полное разрешение) Файлы [Fixer (group-a1)]
Таким образом, команда A1 будет делиться всеми файлами, если они находятся в этой команде (группе), и разделять папку Project A, но имеет только разрешения на чтение.
В противном случае, если у вас есть подпапки в Project A с 2 группами, это немного сложнее.