关于Windows Server 2008 文件夹共享权限设置问题

ling3

测试环境：
Windows 2008R2 做共享，所用账号均为本地账号，无AD环境。
访问的客户端：XP SP2


分享一：
在服务器上开设一账户：User1 并加入administrators组



设置一共享文件夹，权限为：




设置完成后，在一客户端用user1访问test文件夹，结果提示没权限



为了证实确实是User1用户访问，请看：



纳闷了，明明user1是属于administrators组，怎么就没权限访问了呢？

单独添加一个user1到共享权限里面去，试试。



说明对administrators授权进行的访问，貌似在windows 2008上是不行的，原因是什么呢？还希望有知道的朋友分享分享。


分享二：

根据情形一的设置，手动添加了添加user1有读/写，同时还是属于administrators组，那么理论上，删除修改添加应该都没问题吧，谁知道：



那么是不是还存在有个windows 2003 共享权限的设定呢？答案是肯定的。那在哪里呢？就在下面这个位置：



实际上，上面的例子，在实际使用中应该不存在的，因为经过发现在Windows 2008上，对文件夹右键菜单里面的【共享】，并选择【特定用户】确定之后，里面貌似就自动添加了Everyone 并给了FullControl权限。以上只是希望通过这个问题，告诉大家还有这个权限的存在。

同时在这里面添加的用户会自动添加到【安全】权限中，当然，相反在【特定用户】里面删除掉用户，那么【安全】里面也就没有了。



以前在2003的时候，一般都是需要手动设置【共享权限】给于Everyone 完全控制，然后在【安全】里面做限制，现在到了2008，只需要在【特定用户】这个界面做一步操作就可以了。但是更详细的权限设置，还是需要到【安全】里面做操作。

有时候，在【特定用户】里面添加完用户，回到【安全】里面看，却发现没有，这个时候需要点【编辑】之后，就会看到了。



还有，在【特定用户】里面是不会显示Everyone和Users这2个组的，就算手动添加，确定之后，再回到这里，也看不到。不过在【安全】里面就可以看到了。是否还有其他组，暂时还没发现。本帖最近评分记录

• IT之梦 无忧币+4 很好的钻研精神！ 2012-3-12 22:03
  

更多1

楼主关注

• [已解决]windows server 2008 R2密码修改问题
  
• windows 2008 R2 域环境下更改时钟源
  
• windows 2008 R2 如何使用NTBACKUP工具呢？
  
• server2008 R2装什么杀毒软件比较好
  
• 微软正式放出MSDN的Windows 8.1
  
• 安装集群的疑惑
  

版主推荐

• Windows精品视频(14课)-土豪也想要学习的操作技术！
  
• 跨VPN提升域控出错
  
• windows server 2012之powershell
  
• 收集DC中失败的登录信息并邮件通知
  
• dhcp 客户端可以获取ip 子网掩码 dns 就是无法获取网关 问题
  
• WIN2003域迁移问题
  

工信部－弱电项目经理技术资格认证 |　51CTO公开课，招讲师喽！ |　2013云计算架构师峰会，邀您参会

IT之梦

大区版主

On My Way！

帖子5840 精华19 无忧币17471

• 发短消息
  
• 家园好友
  
• 他的博客
  
• 他的资源
  

发表于 2012-3-12 22:01 | 来自  51CTO网页

[只看他] 沙发

关于第一个问题：
1，在08R2里，多出了一个共享的项目，我们在这里可以发现，一个用户属于管理员组，如果这个用户创建了一个文件夹，默认情况下，这个文件夹的共享权限是这个用户可以读写，管理员组拥有所有权，针对这个管理员组的所有者，是不能够进行权限的叠加和分减，这是一个特性，因为他是所有者，所以你共享后user1没有权限访问，因为共享里只有administrator读写并没有其他用户
2，第二个问题也是同上，共享里user1可以读写，虽然他属于管理员组，在安全里管理员组的成员有完全权限，但所有者是一个特性只有在特殊时候使用，比如夺权的时候，所以他不参与叠加权限，故 user1没有权限新建，因为他没有安全里的读写权限
3,08R2的高级全先去到是和以前的系统差不多！这个大家都懂就不多说了！

总结，所有者是一个特性，是一个特殊的群组，每个文件夹都会有这个管理员的存在，所有应该是不会赋予我们形象中的那种权限，只会在特使请看看下进行夺权使用！

工信部－弱电项目经理技术资格认证 |　51CTO公开课，招讲师喽！ |　2013云计算架构师峰会，邀您参会

acern

初级工程师

帖子620 精华1 无忧币1205

• 发短消息
  
• 家园好友
  
• 他的博客
  
• 他的资源
  

发表于 2012-3-14 09:01 | 来自  51CTO网页

[只看他] 板凳

引用:

原帖由 IT之梦 于 2012-3-12 22:01 发表
关于第一个问题：
1，在08R2里，多出了一个共享的项目，我们在这里可以发现，一个用户属于管理员组，如果这个用户创建了一个文件夹，默认情况下，这个文件夹的共享权限是这个用户可以读写，管理员组拥有所有权，针对这个管理员组的所有者 ...

感谢版主非常详细的解释。根据您的解释，我的理解就是如果【所有者】是管理员组，由于特性，所以权限不能叠加。导致不能正常进行访问。之前我的文件夹确实【所有者】是administrators，下面的测试我做了修改：

测试一：所有者更改为administrator，然后再进行共享，再用user1进行访问。结果还是拒绝。










测试二：新建一个普通用户user2，并将共享文件夹得所有权给user2，但共享的时候，还是只希望给管理员组读取。结果还是不行。







所以根据这些，我推测，所有文件夹都不能直接共享给administrators这个管理员组，就算设置了，系统只承认administrator这一个管理员有权限，其他成员通过共享的都不能访问。


所以如果有这样一个情形：如果需要共享一个文件夹，但仅能允许管理员组可以访问，如何实现？