非递归地更改windows权限

Question

我有一台2008机器作为我们公司的文件服务器。我需要给予某人访问相同的文件夹和文件在我们的营销文件夹(其中很容易包含100,000+文件)。用户需要访问市场部/图像，但在营销文件夹中没有其他内容。因此，我的想法是添加读取权限到营销文件夹，然后添加读/写到图像文件夹，子文件夹和文件。

当我在“营销”文件夹上添加权限时，选择正确的“读取权限”，然后将范围设置为“仅此文件夹”。当我单击apply时，它似乎触及了“营销”文件夹中的每个文件(这需要花费很长时间)。最后，它只是像我预期的那样将他的权限添加到了“市场营销”文件夹中，但它仍然必须触及其他每个文件。

它在做什么？所有其他文件都继承它们的权限，那么它是否告诉每个文件“除了用户John外，从市场部继承权限”？我做错了吗？

Answer 1

实际上，您可以直接在图像文件夹上授予用户适当的权限，而不授予他们对父文件夹的任何权限。“旁路遍历检查”用户权限将允许用户遍历一组他们没有权限进入他们拥有权限的文件夹的文件夹。注意，用户必须显式地访问图像文件夹的路径，因为他们将无法浏览到它。

来自“旁路导线检查”的用户权限说明：

旁路导线检查

此用户权限确定哪些用户可以遍历目录树，即使用户可能没有遍历目录的权限。此权限不允许用户列出目录的内容，只允许遍历目录。此用户权限在默认域控制器组策略对象(GPO)以及工作站和服务器的本地安全策略中定义。

工作站和服务器上的

默认设置：

管理员、备份操作员、用户、每个本地服务网络服务

域控制器上的

默认值：

管理员认证用户所有本地服务网络服务预Windows 2000兼容访问

Answer 2

你所做的是正确的。您注意到的行为(过程需要“永远”，树中的每个目录和文件似乎都被触及)就是ACL的实现方式。代码可能不检查更改的内容，因此它不知道，在这种特定情况下，没有必要对树进行递归。

乔克沃蒂的回答也是正确的。我想强调的是，最终用户可能不习惯于使用可以直接访问的路径(指定完整的路径)，但不能浏览(从根目录向下移动资源管理器中的层次结构)。