おそらく他の場所でも質問されていると思いますが、私たちが求めている基準と正確に一致する質問が見つかりません。
ファイル共有を実行するWindows Server 2016 Standardシステムがあります。共有の1つにフォルダがあります(この例では、共有は「GeneralShare」、フォルダは「ControlledFolder」です)。フォルダ自体を共有にリストしたいのですが、許可しません。どれでもAD の「ControlledFolderAccess」グループに属していないユーザーは、データにアクセスできません。したがって、「ControlledFolderAccess」グループに属していないユーザーは、フォルダーの存在は認識できますが、フォルダー内のコンテンツを表示することはできません。(システム管理者やローカル管理者 (およびドメイン管理者) にも権限があるなどの暗黙のアクセス ルールもあります。)
私たちは、読み取り/書き込み/実行とその間の特別な権限のすべての反復を調整しながら、一連の権限を試し、また「拒否」権限も試しました。しかし、ルールを適切に網羅する適切なルール セットは見つかりませんでした。
誰か知っていますか特定のユーザーがディレクトリに入るのを防ぎながら、共有自体にディレクトリが存在することを確認するために設定する必要があるルールは何ですか?
これは、テスト ディレクトリで実行して再現を試みた結果です。
一般共有権限:
許可ルール:
- ドメイン管理者: フルコントロール
- ローカルシステム管理者: フルコントロール
- ドメインユーザー: 変更
- SYSTEM ユーザー: フル コントロール
拒否ルール:
- なし
一般共有/制御フォルダー ルール:
(継承なし)
許可ルール:
- ドメイン管理者: フルコントロール
- ローカルシステム管理者: フルコントロール
- ControlledFolderAccess: フルコントロール
私の理解では、これらの許可はすべき作業...どこかに拒否ルールが欠けているのか、それともServer 2016の標準動作がかわった? (他の共有がある 2012R2 サーバー上の同じ権限は期待どおりに機能し、管理者ではなく明示的なアクセス権がない場合、または ControlledFolderAccess グループに属していない場合は、フォルダーを表示できますが、アクセスできません... ただし、2016 では、これらのフォルダーはこれらの権限が設定されていても表示されません)
答え1
親共有でアクセス ベースの列挙が有効になっているようです。これにより、ユーザーは権限のないフォルダーを表示できなくなります。親共有で ABE を無効にすると、問題のフォルダーを表示できますが、アクセスはできなくなります。