域环境下,经常会用到Windows Server做文件服务器, 设置权限时需要认识到以下知识
域环境下,需要认识域控上Builtin\administrators和domain admins的区别,
客户端电脑上需要认识本地账号administrators和users权限与domain users的区别。
在建共享文件夹目录时,最好单独建一个管理文件服务器的域管理员,登录,选择一个磁盘根目录创建文件夹,建好后,设置共享文件 夹smb权限。
smb权限设置完成后,需要设置NTFS权限
NTFS权限,就直接点到文件夹,右键属性,在安全选项中, 点高级, 确认文件夹的所有者为域管理员, 对此文件夹禁用继承,选择将已继承的权限转换为此对象的显式权限,之后,删除除system和域管理员外的其它所有用户权限,
administrators组权限也删除,
这个是确保在域环境下,部分用户属于域控上的builtin\administrators组(此情况很少),
部分用户既属于域管理员,在客户端电脑上又属于本地管理员,
导致后期共享文件夹目录会出现错误。
此问题导致我测试排查了很久。
设置完NTFS目录权限后,就可以在此文件 夹下建各部门文件夹,并对各部门人员分别授权,
如果想要不同部门只看到自已有权限的目录文件夹,需要开启共享文件目录枚举功能,在服务管理器中找到共享目录,点设置后,选择基于存取的枚举,即可,网上教程很多,不做截图。
