none
File Server設定權限問題..... RRS feed

  • 一般討論

  • 各位Admin和網友 :

    我工作的學校有一個Windows 2003 Server架設的Domain Contoller,這部電腦負責使用者登入驗證和並享資料夾。而另有一部Wondows 2003
    Server加入到這一部Domain Server,這部電腦有一隻大容量的硬碟機(1.5TB)共享資料夾出來給其他使用者使用。

    這部電腦有3個資料夾共享出來,有18個使用者會用map Drive方式連到共享出來的資料夾,我們想做到其中2-3個Admin的使用者可以有Full Control
    權限的作用,而其他使用者只可以讀取、執行、寫入,而不能刪除和更改檔案和之下的資料夾。

    假設有使用者userA、userB 和userC 3個使用者,其中userA和userB這2個使用者擁有Full Control的權限存取Share(共享名稱),而其中userC只是普通的使用者。
    我將userA和userB這2個使用者設定擁有Full Control的權限,再加上EveryOne這個群組,我將此群組設定只可讀取、執行、寫入,而不能刪除和更改檔案。
    但經過測試後,除userC這個使用者外,其餘他的userA、userB都不能更改和刪除檔案!  請問不是當設定使用者為Full Control時便是最大存取權的嗎?為甚麼仍
    不能做到Full Control?

    如果想做到其中2-3個使用者能有Full Control的權限,其餘多個使用者(至少15個)只可以讀取執行、寫入,而不能刪除和更改檔案?

    John Poon.

    2011年5月16日 下午 02:41

所有回覆

  • 請問您是在 File Server 的分享資料夾上做

    1. 安全性設定
    2. 還是 資料夾分享的權限設定

    如果是 2 的話,建議您改由 1 設定嘗試看看

     

    有篇類似的文章,您可以參考看看

     

    2011年5月17日 下午 05:46
  • 請問您是在 File Server 的分享資料夾上做

    1. 安全性設定
    2. 還是 資料夾分享的權限設定

    如果是 2 的話,建議您改由 1 設定嘗試看看

     

    有篇類似的文章,您可以參考看看

     

    多謝你的回覆!

    我是用第1項"安全性設定"來設定的,問題是當我設定EVERYONE群組不能做某一項工作(如刪除),

    會否將先前有設定Full Control的使用者都變做不能做這項工作(因這使用者亦包括在EVERYONE群組在內)

    這是我的想法,大家點睇呢?

    2011年5月18日 上午 05:49
  • 權限的設定是「deny」大於「allow」,若你對everyone權組設定明確的deny 刪除和修改,那麼UserA~C 都無法刪除與修改,

    因為根據預設UserA~C都是everyone這個群組的成員。

    ※ 若deny權限是由上繼承而來,若此時在subfolder上直接設定full control,那麼這樣的情況下「allow」大於「deny」。

     

    每個管理者度於權限設定都有一套自己的做法,建議是以group做為權限設定的基本單位,並且在group的註解中寫下清楚的說明。

    2011年6月15日 上午 07:11
  • bikeman0716 :

    請問針對我這個問題,應怎樣設定才能做到我們的要求呢?

    可否再說得具體一點

    謝謝

    John Poon.

     

     

    2011年7月16日 下午 04:33
  • 根據您的需求,

    在安全性的部份,

    您要先將everyone跟Domain User移除,

    因為UserA、UserB和UserC都包含在這2個群組內,

    目前您的設定是將everyone設為嚴謹而UserA與UserB設為Full Control,

    在安全性部份,

    會取嚴謹的設定,

    因此只會以everyone的權限設定為依據而不採用UserA與UserB的權限,

    小弟公司的權限設定方式多數以群組的方式設定,

    因為往後您只要將User加入到群組中就會自動套用到設定好的權限,

    方式如下,

    比如您分享一個資料夾名稱為"Test",

    在DC上分別建立"Test_RW"與"Test_R"2個群組,

    將UserA與UserB加入到Test_RW的群組中,

    再將UserC加入到Test_R的群組中,

    為了更嚴謹一點,

    資料夾分享時會將Everyone刪除,

    並將"Test_RW"與"Test_R"加入分享並設定為完全控制,

    於安全性的部份,

    將Domain User與everyone刪除,

    並加入"Test_RW"與"Test_R"的群組,

    將"Test_RW"群限設定為Full Control,

    將"Test_R"群組設定為只可讀取、執行、寫入,而不能刪除和更改檔案,

    當然為了往後的安全,

    Domain Administrator一樣會保留,

    這樣設定就能達到您的需求了,

    而且以後只要另外有User要加入設定權限,

    如UserD與UserE要Full control,

    您只要將UserD與UserE加入到"Test_RW"的群組中即可,

    如UserF與UserG要唯讀,

    您只要將UserF與UserG加入到"Test_R"的群組中即可,

    完全不用再去異動到資料夾的安全性,

    提供給您參考。

    2011年9月28日 下午 02:36