none
使用域中的windows server2008R2 作为文件服务器权限设置 RRS feed

  • 问题

  • 现在公司需要提高文件安全等级,为了想要隔离访问权限和设置权限。

    不知道windows Server 2008 R2 是否支持。

    目标效果:

        设置权限的人只能设置文件夹和子文件夹权限,但是无法查看文件夹下面的文件。

     麻烦各位高手解答一下。

    • 已移动 Karen Hu 2014年8月6日 7:30 Server issue
    2014年8月5日 5:26

答案

  • 你好,

    如果用户可以设置文件夹和子文件夹权限,用户就可以给自己分配读的权限,那么用户就可以查看文件夹下面的文件了。 所以要是让用户不能查看文件夹,那么就不能给用户设置文件夹和子文件夹的权限。

    关于文件夹的权限,你可以参考下面的文章。

    NTFS Permissions, Part 2
    http://technet.microsoft.com/en-us/magazine/2006.01.howitworksntfs.aspx


    We are trying to better understand customer views on social support experience, so your participation in this interview project would be greatly appreciated if you have time.
    Thanks for helping make community forums a great place.

    2014年8月6日 9:54
    版主
  • 下面這個方法可以"實現", 但由於系統無法規定用戶可以賦予哪些權限, 所以被委派的用戶, 可以自行設置允許自己訪問的權限.

    1. 以管理員身份運行命令提示符

    cmd

    2. 建立一系列目錄

    mkdir serv\a\b\c

    3. 進入 serv 目錄

    cd serv

    4. 移除原有繼承權限

    icacls a /t /inheritance:r

    5. 重設權限

    icacls a /t /c /grant administrators:(oi)(ci)(f)

    6. 重設所有者

    icacls a /t /c /setowner administrators

    7. 現在指定為委派執行目錄和文件權限設置用戶的 ACL, 假設用戶名為 swimmy

    icacls a /t /c /grant swimmy:(oi)(ci)(rc,rd,s,wdac)

    使用上述 ACL, 目錄名和文件名對於用戶 swimmy 是可見的, 但在 cmd 下不能通過 cd 進入到子目錄, 不過可以通過 tab 自動補全, dir 這些命令也不受影響, Windows Explorer 訪問不受影響.


    現在你就可以使用 swimmy 用戶進行重新設置權限的各種測試.

    如果你一定要實現這種功能, 也不是完全不可能的, 需要自行編寫程序. C/S 結構或 B/S 結構都不無所謂, 重要的是, 委派的用戶沒有訪問存儲卷的權限, 只能通過程序遠程訪問, 並且可以賦予的用戶和權限受到限制和審核.

    但是上面這種方法仍然有一定問題, 需要仔細區分敏感文件, 不能隨意對這些文件設置訪問權限. 同時如果委派人員知曉另一個用戶的密碼, 那麼他(她)可以在指定對象上設置該用戶的訪問權限, 以實現不期望的訪問目的.


    Folding@Home

    2014年8月6日 12:06

全部回复

  • 这个要求貌似有些自相矛盾啊。


    Alexis Zhang

    http://mvp.support.microsoft.com/profile/jie
    http://blogs.itecn.net/blogs/alexis

    推荐以 NNTP Bridge 桥接新闻组方式访问论坛。

    本帖是回复帖,原帖作者是楼上的 <batter zhou>;

    | 现在公司需要提高文件安全等级,为了想要隔离访问权限和设置权限。
    | 设置权限的人只能设置文件夹和子文件夹权限,但是无法查看文件夹下面的文件。

    2014年8月6日 0:01
  • 您好,

    这个问题更多跟Windows Server 操作系统有关,我已经将您的帖子移至Windows Server 论坛,您将在这里得到更好的帮助。


    Karen Hu
    TechNet Community Support

    2014年8月6日 8:32
  • 你好,

    如果用户可以设置文件夹和子文件夹权限,用户就可以给自己分配读的权限,那么用户就可以查看文件夹下面的文件了。 所以要是让用户不能查看文件夹,那么就不能给用户设置文件夹和子文件夹的权限。

    关于文件夹的权限,你可以参考下面的文章。

    NTFS Permissions, Part 2
    http://technet.microsoft.com/en-us/magazine/2006.01.howitworksntfs.aspx


    We are trying to better understand customer views on social support experience, so your participation in this interview project would be greatly appreciated if you have time.
    Thanks for helping make community forums a great place.

    2014年8月6日 9:54
    版主
  • 下面這個方法可以"實現", 但由於系統無法規定用戶可以賦予哪些權限, 所以被委派的用戶, 可以自行設置允許自己訪問的權限.

    1. 以管理員身份運行命令提示符

    cmd

    2. 建立一系列目錄

    mkdir serv\a\b\c

    3. 進入 serv 目錄

    cd serv

    4. 移除原有繼承權限

    icacls a /t /inheritance:r

    5. 重設權限

    icacls a /t /c /grant administrators:(oi)(ci)(f)

    6. 重設所有者

    icacls a /t /c /setowner administrators

    7. 現在指定為委派執行目錄和文件權限設置用戶的 ACL, 假設用戶名為 swimmy

    icacls a /t /c /grant swimmy:(oi)(ci)(rc,rd,s,wdac)

    使用上述 ACL, 目錄名和文件名對於用戶 swimmy 是可見的, 但在 cmd 下不能通過 cd 進入到子目錄, 不過可以通過 tab 自動補全, dir 這些命令也不受影響, Windows Explorer 訪問不受影響.


    現在你就可以使用 swimmy 用戶進行重新設置權限的各種測試.

    如果你一定要實現這種功能, 也不是完全不可能的, 需要自行編寫程序. C/S 結構或 B/S 結構都不無所謂, 重要的是, 委派的用戶沒有訪問存儲卷的權限, 只能通過程序遠程訪問, 並且可以賦予的用戶和權限受到限制和審核.

    但是上面這種方法仍然有一定問題, 需要仔細區分敏感文件, 不能隨意對這些文件設置訪問權限. 同時如果委派人員知曉另一個用戶的密碼, 那麼他(她)可以在指定對象上設置該用戶的訪問權限, 以實現不期望的訪問目的.


    Folding@Home

    2014年8月6日 12:06