Были запущены Windows Server 2003 R2 с участием Active Directory и у них возникла проблема с общими сетевыми ресурсами, когда пользователи, пытаясь защитить свои документы, удаляют всех (включая Administrator учетной записи) из их разрешений для файлов / папок. Поскольку Administrator больше нет read разрешение на них, мы даже не можем создавать резервные копии файлов вручную, так как мы получаем ошибки разрешения.
Одно из найденных нами решений - изменить owner файлов и каталогов в Administrator учетная запись. Затем мы можем изменить разрешения по своему желанию. Проблема в том, что это нужно делать вручную, поэтому не может быть применено ко всей общей папке.
Еще одно решение, которое мы пробовали, - использовать cacls следующим образом:
cacls d:\path\to\share /C /T /E /G Administrator:F
Проблема в том, что мы все еще получаем ACCESS DENIED ошибка файлов / папок, в которых Administrator был удален.
Q1: Есть ли способ восстановить хотя бы read доступ ко всем файлам / папкам в Administrator счет рекурсивным способом?
Это было бы на короткий срок. В долгосрочной перспективе мы ищем решение, чтобы пользователи не могли удалить Administrator из разрешений файлов / папок. Поскольку мы собираемся перейти на Windows Server 2008 R2 скоро мы сможем подождать, пока мы перейдем к внедрению такого решения, если это необходимо.
Q2: Есть ли способ запретить пользователям удалять права администратора для файлов / папок в Windows Server 2003/2008?
Что именно делать, зависит от того, насколько распространена проблема - сколько людей это сделали и как структурированы затронутые каталоги.
У вас должны быть настроены общие каталоги, чтобы личные и групповые каталоги наследовали разрешения. Затем, если людей не слишком много, вы можете взять под контроль их каталоги и сбросить разрешения. Или вы можете просто сказать каждому человеку - «никакой резервной копии для вас, пока вы не позволите администратору использовать вашу учетную запись и не изменить все обратно».
(И скажите им, что они будут сожалеть, если сделают это снова, поскольку «отсутствие резервной копии» является началом проблем.)
Если он широко распространен, вы можете взять на себя ответственность за все, установить желаемые права администратора (после этого я бы сделал его «полным контролем», а не только доступом для чтения), а затем добавить соответствующие права пользователя или группы.
Q1: Есть ли способ восстановить хотя бы доступ для чтения ко всем файлам / папкам для учетной записи администратора рекурсивным способом?
Если разрешения унаследованы (т. Е. Не устанавливаются отдельно для разных файлов и папок), то изменение разрешений в корневой папке и установка флажка «Заменить весь дочерний объект ...» заменит все разрешения унаследованными разрешениями.
Это, конечно, заменит разрешения для дочерних элементов, которые должны иметь разные разрешения.
Q2: Есть ли способ запретить пользователям удалять права администратора из файлов / папок в Windows Server 2003/2008?
Нет.
Хотя есть отдельный флаг для «Изменить разрешения», Windows проигнорирует это для владельца файла (владелец всегда может изменить разрешения), в противном случае пустой ACL (или один с запретить всем все ACE) не будет обратимым.
мы даже не можем создавать резервные копии файлов вручную, так как получаем ошибки разрешений.
Зачем вам такие ручные операции? Программное обеспечение резервного копирования следует запускать и подтверждать права резервного копирования (а при восстановлении - восстановление), которые будут обходить списки контроля доступа. Если пользователю необходимо вручную создать резервную копию некоторой части своих файлов, которые ему принадлежат, его можно легко скопировать.
Возможно, это действительно проблема обучения пользователей: если вы запретите доступ администраторам, администраторы не смогут помочь вам с управлением файлами.
После того, как вы уберете беспорядок, вы можете предотвратить его повторение вот так. Вы можете оставить пользователю «полный контроль» над разрешениями NTFS, просто изменив разрешения общего ресурса вместо полного. Доступ к сети - это комбинация двух. Когда вашей группе администраторов требуется полный контроль над данными по сети, используйте одну из общих папок driveLetter $ по тому же пути, где у вас все еще есть полный контроль на уровне общих ресурсов.