NAS :共享与NTFS Perms

Question

亲爱的数据存储专家：

背景：

1. 对于任何Windows CIFS NAS共享，都有共享/存储级别Perms和Windows/NTFS级别Perms，大多数公司/人员都希望在共享/存储级别拥有“Everyone/Full Control”，并将AD组应用到NTFS级别以锁定共享。
2. 我们也希望应用相同的AD组来共享perms。对于一个新的/空的共享，我们将应用相同的共享/NTFS perms，然后开始复制数据。所有文件/子文件夹都在继承共享/NTFS perms，按预期工作。
3. 分别使用“Subinacl”和“ICACLS”应用共享和NTFS Perms。

Note that we do not have any subfolders/files with different Share/NTFS perms than parent.

问题是，

• 是否有命令/实用程序来查看给定共享范围内的文件/文件夹的共享权限？*和*.*不通过subinacl工作。我认为有一个选项可以递归地查看共享权限。只想确认继承是否如预期的那样工作。subinacl /share "\\<server>\<share>\*" subinacl /share "\\<server>\<share>\*.*"
• 对于NAS共享的共享/NTFS权限，还有其他的建议/推荐/最佳实践吗？真的很感激。

Answer 1

无论共享中包含哪些文件夹，共享权限都是为整个共享设置的。如果未在具有读取权限的共享中列出，则无法通过网络访问共享上的任何文件夹。

只有NTFS权限将由子文件夹继承。SubinACL只返回共享的总体权限。必须使用/file或/subdirectories检查文件夹/文件本身的NTFS权限。

共享权限的使用将进一步限制对NTFS权限的访问。如果共享权限并不比NTFS权限限制性更强，那么您还可以将共享权限设置为每个人:f，否则您的配置就会变得不必要地复杂。

下面是一些关于如何使用共享权限的示例：https://blog.varonis.com/the-difference-between-share-and-ntfs-permissions/