据我了解,如果
用户创建了一个
文件夹,他们就会成为所有者并可以控制NTFS权限,
包括删除授予Domain Admins的继承权限.
防止Domain Admins被拒绝访问网络文件夹的最佳方法是什么?这些是我读过的一些方法:
>您不应该试图阻止用户更改他们创建的文件夹的权限.
>安排一个脚本来接管Domain Admins无法访问的任何文件夹的所有权(侧栏问题:如果您更改所有者,那么是否取代[即删除]授予原始所有者完全控制权的ACE?).
>使用共享权限更改和读取的组合)和NTFS权限(修改)来限制经过身份验证的用户更改权限as described by Helge Klein的权限.
这看起来更像是管理问题,而不是技术问题.使用脚本获得所有权或试图阻止那些曾经玩权限的人比我认为值得更麻烦.
在过去,我们已经让域管理员完全无法访问个人文件夹,但是人们不可避免地会打电话询问“你能查看我个人目录中的内容吗?”
因此,我们遵循管理员必须能够阅读所有内容的策略(除少数例外).如果我们遇到某人阻止管理员访问的文件夹,我们会找出原因,解释为什么我们认为我们有权访问更好,并且我们将权限更改回默认值.如果它是在我们追踪问题的时候发生的,那就是我们制定政策的原因:所以我们可以在当时简单地控制并稍后进行排序.