在群集配置中使用Server 2012作为我们主文件服务器(win2003)的升级,我们在使用遍历文件夹权限和基于访问的枚举(ABE)时遇到问题
当正确设置组权限时,ABE在我们的环境中工作得非常好,但是我需要允许访问结构中内部的某些文件夹,以便为不在这些组中的各个用户使用每个子文件夹上经过身份验证的用户的遍历文件夹权限(每个用户都有目标文件夹的显式权限,然后将在他们的桌面上给这个路径的快捷方式等.)我可以在ABE关闭时进行遍历工作,一旦ABE打开遍历中断和资源管理器上客户端(win7)无法枚举其中的文件夹.
这个服务器的设置方式与我们以前的2003文件服务器的设置方式相同,并且这适用于ABE和遍历权限很好,任何人都可以了解如何在2012年使用ABE和遍历或建议任何资源或工具来查看或者自2003年以来引入的有关ABE或遍历权限的差异?
答案是ABE打破了Traverse.关闭ABE后,如果成员服务器上的默认域和本地策略到位,您可以授予某人深入访问结构,而无需从顶部向下授予权限. (
https://technet.microsoft.com/en-us/library/Cc739389%28v=WS.10%29.aspx)
但是,“当在共享上启用基于访问的枚举(ABE)时,即使启用了绕过遍历检查用户权限,shell(Explorer.exe)也会强制执行遍历检查.用户仍然可以通过运行dir命令枚举目录内容线.” – 从https://support.microsoft.com/en-us/kb/3035058开始
作为此问题的另一个复杂因素,Windows 10似乎并不尊重这一点.它可以直接浏览到同一用户无法从Windows 7用户浏览的Windows 2008 R2服务器上的共享.但是,应用于我用于测试的两台机器的策略可能存在一些差异,但我不相信.