這可能在其他地方被問過,但我找不到符合我們確切標準的問題。
我們有一個運行檔案共享的 Windows Server 2016 Standard 系統。在其中一個共用中,我們有一個資料夾(在本範例中,該共用稱為“GeneralShare”,資料夾為“ControlledFolder”)。我們希望將資料夾本身列在共用中,但不允許任何不在 AD 中的「ControlledFolderAccess」群組中的使用者有權存取資料。因此,任何不在「ControlledFolderAccess」群組中的使用者都會知道該資料夾存在,但無法看到其中的內容。 (我們也有隱式存取規則,例如係統和本機管理員(和網域管理員)也擁有權限。)
我們嘗試了一組權限,調整讀取/寫入/執行以及其間特殊權限的所有迭代,並且還嘗試了「拒絕」權限。然而,我們還沒有找到能夠正確包含這些規則的正確規則集。
有誰知道具體的我們需要設定規則來阻止使用者進入該目錄但仍然看到該目錄存在於共用本身中?
這就是我們在測試目錄中所做的嘗試和複製:
一般共享權限:
允許規則:
- 網域管理員:完全控制
- 本機系統管理員:完全控制
- 網域用戶:修改
- 系統使用者:完全控制
拒絕規則:
- 沒有任何
GeneralShare/ControlledFolder 規則:
(無繼承)
允許規則:
- 網域管理員:完全控制
- 本機系統管理員:完全控制
- ControlledFolderAccess:完全控制
據我了解,這些權限應該工作...我們是否在某處缺少拒絕規則,或者只是具有 Server 2016 的標準行為改變了? (在具有其他共享的2012R2 伺服器上,這些相同的權限可以按預期工作,如果我們不是管理員並且沒有明確存取權限或不在ControlledFolderAccess 群組中,我們可以看到該資料夾,但無法存取它。
答案1
聽起來好像在父共享上啟用了基於存取的枚舉,這可以防止用戶查看他們無權訪問的資料夾。如果您在父共享上停用 ABE,則應允許他們查看但無法存取相關資料夾。