Некоторое время назад я задал приведенный ниже вопрос, и на него был дан ответ, я вошел в систему, что недавно хотел вернуться к нему, только чтобы увидеть, что все ответы были удалены. Я сделал что-то не так?
"Кажется, я попадаю в этот странный цикл проблем с разрешениями. У нас есть файловый сервер, и у каждого есть свой общий ресурс пользователя и общий ресурс своего отдела. Все работает хорошо. Разрешения установлены на Modify за Департамент или личную долю Пользователя. Не Full Control. Пользователи имеют доступ к своим папкам, но, очевидно, не могут добавлять других на корневом уровне, потому что у них нет Full Control.
Что я не могу понять, так это предположим, что пользователь A создает папку внутри своей личной общей папки с именем XYZ (у всех пользователей есть свои общие папки), затем переходит к разрешениям и просто добавляет user B путем поиска в Active Directory.
Если пользователю B нужен доступ к этой папке, они должны ввести \\SERVER\User A\ (доступ запрещен, поскольку у них нет доступа к корневой папке). Однако, если пользователь B ввел \\SERVER\User A\XYZ им будет предоставлен доступ, потому что пользователь A разрешил доступ к этой папке на уровне разрешений NTFS
Как мне запретить пользователю создать папку в своем общем ресурсе и просто изменить разрешения NTFS, чтобы добавить другого пользователя и предоставить им доступ по абсолютному пути?
В этом нет никакого смысла.
Домен функционального уровня Windows Server 2008 R2 и 2008. Первоначальный общий ресурс был создан на сервере администратором домена. Пользователь A является локальным администратором своего компьютера. ТОЛЬКО пользователь B является стандартным пользователем.
В вашем сценарии выше «Пользователь А» не может добавить разрешение на \\SERVER\User A\XYZ папка, если что-то в списке управления доступом (ACL) не предоставляет разрешения «Полный доступ» для «Пользователя A». Изменение разрешений является частью «Полного доступа», и, пока «Пользователь А» имеет разрешение «Изменить», только он не могу установить разрешения.
Если вы являетесь «Администратором» клиентского компьютера, это не дает «Пользователю A» никаких специальных разрешений на сервере SERVER. Однако это заставляет меня задуматься, имеет ли «Пользователь А» больше прав на машине «СЕРВЕР», чем вы думаете.
Я бы исследовал «Действующие разрешения» «Пользователя А» в папке, которую вы описываете в своем сценарии. Я сильно подозреваю, что вы обнаружите, что у них есть разрешение «Полный доступ».