ACL папок на присоединенном к домену хосте для владельцев локальных учетных записей

У меня есть присоединенный к домену сервер Windows Server 2012 R2 Standard с деревом папок, общим для нескольких пользователей. У некоторых пользователей есть учетные записи домена, а у некоторых - только локальные учетные записи Windows. Все пользователи используют удаленный рабочий стол для доступа к серверу и изменения файлов. Все пользователи имеют доступ ко всему дереву папок (например, C:\Common).

Поскольку различные пользователи создают, удаляют и изменяют файлы в общей папке и ее подпапках, права доступа к файлам перемещаются туда, где некоторые пользователи больше не могут получить доступ или изменить некоторые файлы. Файлы в конечном итоге принадлежат различным пользователям и не включают разрешения для всех пользователей.

В родительской папке (C:\Common) каждому пользователю предоставлен полный доступ. Чтобы обойти эту проблему, всякий раз, когда пользователь жалуется, что не может получить доступ к необходимому файлу, я запускаю эти две команды из командной строки администратора из папки C: \ Common:

icacls * /setowner LocalCommonUsersGroup /t /c
icacls * /T /Q /C /RESET

Это сбрасывает владельца и разрешения, но требует много времени для запуска (более 20 минут). LocalCommonUsersGroup - это локальная группа, членами которой являются все соответствующие локальные и доменные пользователи. Я пробовал с различными владельцами.

Как настроить владельца и разрешения для этого дерева папок, чтобы все пользователи могли создавать / изменять / удалять файлы и папки, и чтобы никто не блокировался ни для какого файла или папки?

Что является гибким / это опция:

  • Владелец. Это может быть учетная запись домена, группа домена, локальная учетная запись или локальная группа.
  • Способ, которым пользователи получают разрешения. Это может быть каждая учетная запись, добавленная индивидуально, или локальная группа.

Что не гибкий / не вариант:

  • Папка по-прежнему должна быть защищенной, то есть я не могу предоставить доступ "Все".

Заранее спасибо.

ОБНОВИТЬ:

Результаты icacls C:\Common:

C:\Common MYDOMAIN\domainuser1:(OI)(CI)(F)
SERVER1\localuser1:(OI)(CI)(F)
SERVER1\localuser2:(OI)(CI)(F)
SERVER1\LocalCommonUsersGroup:(OI)(CI)(F)
NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)
BUILTIN\Administrators:(I)(OI)(CI)(F)
BUILTIN\Users:(I)(OI)(CI)(RX)
BUILTIN\Users:(I)(CI)(AD)
BUILTIN\Users:(I)(CI)(WD)
SERVER1\LocalCommonUsersGroup:(I)(F)
CREATOR OWNER:(I)(OI)(CI)(IO)(F)

Примечание: имя домена и имена пользователей изменены, но в противном случае точный вывод.

Источник

0 ответов

Другие вопросы по тегам