none
某目錄內提供多人多子目錄共用及Ntfs權限設定規劃 RRS feed

  • 問題

  • 大家好
    想請問一下 我使用WIN SERVER 2003 有網域
    已有一群組Grp_a 內含user_id a1,a2,a3,a4,a5,a6,a7,a8,a9,a10
    該群組內的人必須可以在個人xp內連結網路磁碟機 x: 至 \\9.9.9.9\d:\DDD
    例:NET USE x: \\9.9.9.9\DDD\ 後,可存取 X:\下個人的目錄,
    但不能在X:\目錄下建立任何目錄檔案,也不能讀取任何非自己目錄下的任何檔案>

    如:X:\根目錄下 GRP_A內所屬的人都不能建立讀取任何目錄檔案;
    X:\A1\則只能由a1使用者可以存取,其他人都不能進來,
    X:\A2\則只能由a2使用者可以存取,其他人都不能進來..以此類推.

    目前我的作法是
    1.D:\DDD\設定共用,共用權限 設定 給GRP_A 允許 變更及讀取
    2.D:\DDD\的安全性,權限設定 給GRP_A 拒絕 完全控制
    3.D:\DDD\A1 取消父項繼承勾勾,再加入使用者A1 允許 變更及讀取,再逐一加入a2,a3,a4,a5,a6,a7,a8,a9,10 拒絕 完全控制。....其他子目錄也是一樣的設定方式

    做完後 發現我這樣要做 很沒效率 每設定1個目錄每個人都要設定誰可以存取,誰不能存取,但不這樣設,就會有漏洞,可能我的觀念還太差,想問有沒有甚麼好辦法,可以有效率的設定這樣的權限? 謝謝!!

    2008年10月24日 下午 12:09

解答

  •  AskaSu 寫信:

    我的方法提供給您試試看:
    共用的地方開Everyone 變更及讀取

    (安全性的部分由NTFS處理)

    在資料夾的安全性處理

    父系資料夾 DDD 開給GRP_A 讀取及資料夾清單權限

    D:\DDD\A1 資料夾

    1. 父項繼承取消,並移除原本繼承來的GRP_A群組

    2. 將使用者 A1 加入完整存取的權限

     

    因為照著做還是不行,後來實驗後發現可以了,原來是我一直忽視了USERS這個群組,還好有AskaSu 的回答讓我有了感覺,並做個補充。

    1.父系資料夾 DDD 開給GRP_A 允許讀取及資料夾清單權限

    改為

    父系資料夾 DDD  取消『父項繼承...』,按下『複製』鈕,刪除『USERS』群組,新增『GRP_A』群組,給予權限『清單資料夾內容』。

    其他都一樣.....

     

    因為一個目錄預設可存取的群組為

    administrators --->允許完全控制

    creator owner --->允許完全控制

    system            --->允許完全控制

    users              ---->允許讀取與執行,清單資料夾內容,讀取

    而一般登入的人均屬於users群組,所以 我在a1子目錄明明只有加入該使用者,但是怎麼別人怎麼也進得來。

    2008年10月27日 上午 04:36

所有回覆

  • 我的方法提供給您試試看:
    共用的地方開Everyone 變更及讀取

    (安全性的部分由NTFS處理)

    在資料夾的安全性處理

    父系資料夾 DDD 開給GRP_A 讀取及資料夾清單權限

    D:\DDD\A1 資料夾

    1. 父項繼承取消,並移除原本繼承來的GRP_A群組

    2. 將使用者 A1 加入完整存取的權限

    2008年10月24日 下午 12:44
    版主
  • 謝謝 我瞭解了

    2008年10月25日 下午 03:54
  • 試了這個方法,A2這個人登入後,還是可以存取A1資料夾。

     

    請問是不是還有那裡要調整。 我每個步驟都做了.......

    2008年10月27日 上午 03:00
  •  AskaSu 寫信:

    我的方法提供給您試試看:
    共用的地方開Everyone 變更及讀取

    (安全性的部分由NTFS處理)

    在資料夾的安全性處理

    父系資料夾 DDD 開給GRP_A 讀取及資料夾清單權限

    D:\DDD\A1 資料夾

    1. 父項繼承取消,並移除原本繼承來的GRP_A群組

    2. 將使用者 A1 加入完整存取的權限

     

    因為照著做還是不行,後來實驗後發現可以了,原來是我一直忽視了USERS這個群組,還好有AskaSu 的回答讓我有了感覺,並做個補充。

    1.父系資料夾 DDD 開給GRP_A 允許讀取及資料夾清單權限

    改為

    父系資料夾 DDD  取消『父項繼承...』,按下『複製』鈕,刪除『USERS』群組,新增『GRP_A』群組,給予權限『清單資料夾內容』。

    其他都一樣.....

     

    因為一個目錄預設可存取的群組為

    administrators --->允許完全控制

    creator owner --->允許完全控制

    system            --->允許完全控制

    users              ---->允許讀取與執行,清單資料夾內容,讀取

    而一般登入的人均屬於users群組,所以 我在a1子目錄明明只有加入該使用者,但是怎麼別人怎麼也進得來。

    2008年10月27日 上午 04:36