任何处理过文件服务器权限的人都知道,NTFS有一个有趣的设计特性/缺陷,称为移动/复制问题.
如in this MS KB article所述,如果移动文件夹并且源和目标位于同一NTFS卷上,则文件夹或文件的权限不会自动从父级继承.如果复制文件夹或源和目标位于不同的卷上,则会继承权限.
这是一个简单的例子:
您在同一个NTFS卷上有两个共享文件夹,名为“Technicians”和“Managers”.技术人员组具有对Technicians文件夹的RW访问权限,而Managers组具有对“Managers”文件夹的RW访问权限.如果有人可以访问这两个文件夹并将子文件夹从“Managers”文件夹移动到“Technicians”文件夹,则移动的文件夹仍然只能由“Managers”组中的用户访问. “技术人员”组无法访问子文件夹,即使它位于“技术人员”文件夹下,并且应该从顶部继承权限.
正如您可以想象的那样,这会导致支持呼叫,票证和浪费周期来解决这些最终用户问题,更不用说如果用户经常在不同的安全文件夹/区域之间移动文件夹,您可以最终获得权限的鼠标嵌套.相同的音量.
问题是:
解决这个NTFS设计缺陷的最佳方法是什么?如何在您的环境中处理它?
我知道链接的知识库文章谈到了一些注册表项,用于更改Windows资源管理器的默认行为,但它们是客户端的,并要求用户能够更改权限,我认为在大多数环境中这些权限都是非首发的希望控制您的文件服务器权限(以及您作为系统管理员的理智).
我的方法是不使用文件/目录级文件权限;使用文件共享级别权限,并将整个服务器文件系统数据驱动器设置为Everyone完全控制(这变得没有实际意义).
多年来(10),我发现NTFS权限更复杂,导致更多错误.如果权限设置错误,或者继承被破坏,则会暴露数据并且很难找到并查看它.另外,正如您所说,您会遇到移动/复制问题.
您必须使用目录/文件级ACL的地方;我知道没有其他解决方案,只能定期检查健康状况.
