共享文件夹权限

声明：本文转载自gnaw0725.blogbus.com，更新网址：http://gnaw0725.blog.51cto.com。

        有个问题想请教一下，关于文件服务器上的文件夹权限设定，微软一般建议是怎么设定？
用组来设定权限？组的话，domain , local, universal 3种组，在文件夹上的权限设定，对文件服务器的影响各是什么呢？一个用户访问文件服务器上的某个文件时，验证步骤是怎么样的？

回答：1. 关于文件服务器上的文件夹权限设定，微软一般建议是怎么设定？
       一般在文件服务器上给文件夹设置权限，是按照组或者用户来设置权限。您可以给AD里面不同的组设置不同的权限，也可以争对单个特殊用户设置权限。对于具有共性的用户，都是按照组来设置权限，比如对于域中的某些集中管理的用户都是先将他们加入一个组，然后对这个组设置权限。但是对于文件服务器本机的特殊用户一般是按照每个用户设置权限，比如系统帐户(System)，本地管理员(<servername>\Administrator)，或者文件夹主人(Owner)。

2. 用组来设定权限？组的话，domain , local, universal 3种组，在文件夹上的权限设定，对文件服务器的影响各是什么呢？
您所说的domain和local组，是指的在domain中定义的组和在本机定义的组，如果我的理解有误请纠正。
对于Domain中的组和Local的组的权限设置是平等的。
另外，在Domain中有3种组：
全局组（Global Groups)：可以出现在任何森林中的ACL中，并且可以包括来自本域中的用户和其他全局小组。
域本地组（Domain Local Groups)：可以包含森林、通用小组和本域中的其他局部小组中的用户和全局小组。一个局部域小组只能在本域的ACL中使用。
通用组（Universal Groups): 组的最简单的形式。通用组可以出现在森林ACL的任何地方。小型安装可以专有的使用通用小组而不要去关心全局和局部小组。通用组一般用于多域的情况，通用组的成员信息保存在GC中。尽量避免通用组直接包含用户账号成员，而使用全局组作为通用组的成员
在域中使用组的策略:
1)使用A-G-DL-P策略；
2)使用A-G-G-DL-P策略；
3)使用A-G-U-DL-P策略。
这里，A表示用户账号，G表示全局组，U表示通用组，DL表示域本地组，P表示资源权限。A-G-DL-P策略是将用户账号添加到全局组中，将全局组添加到域本地组中，然后为域本地组分配资源权限。其余类推。
3. 一个用户访问文件服务器上的某个文件时，验证步骤是怎么样的？

在domain环境中，用户从其它机器上访问文件服务器上的某个文件，首先要经过Kerberos验证，当得到对文件服务器的共享服务访问票证后，用户的访问令牌(Access Token)就开始被具体要访问的共享文件的访问控制
(Access Control)机制来检验。每个文件都是一个安全对象，每个安全对象都有自己的访问控制列表(ACL)，每个访问控制列表都存在数个访问控制入口(ACE)。Access Token将依次和每个ACE进行比较，如果符合某一个
ACE，就通过验证获得访问授权。
Cindy Cao 微软全球技术支持中心

--------------------
提问：由于我现在正好在整理文件夹服务器上的权限设定。我有很多用户，我们目前的设定是这样子的，用户A属于通用组B（B还是安全组），然后通用组B属于域本地组C，在文件夹上以域本地组C来设定权限。这样有没有什么问题，通讯组和安全组有什么不一样？通讯组可以作为安全组的成员吗？
回答：您是遵循A-U-DL-P的策略，这样做没有什么问题。可以不需要G全局组。通讯组是用来设置email的分发列表的。不能使用通讯组来设置任何权限，也不能用通讯组来过滤组策略。安全组是用来管理用户帐户或电脑帐户对共享资源的访问权限的。也可以通过安全组来控制对组策略的接收。 也可以使用安全组来作为email分发的分发列表。因而通讯组是不能作为安全组的成员的。
---------------------------------------------------------------------------
提问：直接使用通用组来对文件夹进行权限设置，会有什么影响吗？有没有详细的文档，关于这个方面的。
-----------------
回答：直接使用通用组来对文件加进行权限设置，没有影响。关于AD里面的Group，您可以参考Technet上的相关文档：Group scope
http://technet.microsoft.com/en-us/library/cc755692.aspx
Security Groups
http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/deploy/dgbe_sec_rzdw.mspx?mfr=true
提问：厄，直接使用通用组或者全局组没有影响，为什么还要在域中使用组的策略:
1)使用A-G-DL-P策略；2)使用A-G-G-DL-P策略；3)使用A-G-U-DL-P策略。
-----------------------
回答：我们知道，在Active Directory中有三种类型的安全组：全局组、域本地组和通用组。全局组和通用组都可以用来对文件夹进行权限设置，但是全局组只能添加本地域的用户，而通用组可以添加其他域的用户。在多域环境下，当您需要对其他域中用户授予文件夹访问权限的时候，便可以使用通用组来实现这一功能（也可以通过域本地组实现）。另外，如果您是单域的环境，则没有必要去使用通用组，因为在单域环境下通用组和全局组功能是相同的。
有关组的作用域，请参阅：“组作用域”
http://technet.microsoft.com/zh-cn/library/cc755692.aspx
另外，为了减少AD复制流量，我们建议不要将单个用户直接添加到通用组内，而是应当先将用户添加到全局组，再将全局组添加到通用组。不要频繁更改通用组的成员，因为对这些组成员身份的任何更改都将导致整个组的成员身份复制到林中的每个全局编录中。

有关通用组和复制的详细信息，请参阅“全局编录和站点”
http://technet.microsoft.com/zh-cn/library/cc737290.aspx

关于AD组的更详细信息，您可以登陆我们的Technet网站阅读相关知识库文章：
http://technet.microsoft.com/zh-cn/library/cc776995.aspx
另外我们建议您可以在我们的Technet网站上下载以下网络广播课程，在这些课程内都有关于组的详细讨论：
Windows Server 2003从入门到精通系列
http://www.microsoft.com/china/technet/webcasts/class/windowsserver2003.mspx
活动目录系列课程
http://www.microsoft.com/china/technet/webcasts/class/ad.mspx
朱诚 微软全球技术支持中心