服务器上共享文件夹的权限和访问安全性

Question

1. 我需要为两个人设置一个文件夹的权限。
2. 我不是服务器上的管理员，但我有权授予和删除文件夹的权限。
3. 除了这两个用户之外，即使是服务器管理员也不能访问该文件夹。
4. 以下用户是该文件夹上的默认用户，或者至少当我与其他文件夹一样检查该文件夹中的权限时，该文件夹中有以下用户：
   • 认证用户
   • 系统
   • 管理员(主机名\管理员)
   • 用户(主机名\用户)
   • myusername(域\myusername)

我需要为上面没有列出的用户设置权限，只有他们才能访问文件夹，但是，在将来创建备份或授予和删除权限时，是否可以安全地删除上面列出的用户而不会产生影响？

Answer 1

我不是服务器上的管理员，但我有权授予和删除文件夹的权限。

这对管理员来说是个糟糕的设置。非管理员不应完全控制文件夹和文件。

除了这两个用户之外，即使服务器管理员也不能访问该文件夹

这是不可能的如果管理员对服务器拥有管理权限(管理的定义本身)，那么他们可以很容易地将自己的权限再授予该文件夹。

尽管如此，您可以添加具有完全控制的2个帐户(因为您说希望它们将来能够添加/删除权限)，并且可以从技术上删除包括系统在内的所有内容。离开系统不会有什么害处，但也不需要留下。

备份应该使用备份操作符组中的帐户完成，该帐户技术上不需要对文件夹的权限，因为它可以在备份期间绕过安全性。但是，有些备份程序需要运行的帐户是管理员，甚至是域管理员。但是，只要备份运行的帐户是备份操作符的一部分，那么它就应该运行良好。

但是，我仍然坚持这样的事实:如果另一个帐户在该服务器上拥有管理权限，他们将能够获得所有权并应用新的权限，包括授予自己访问权限。如果该文件夹确实需要“安全”，则必须超越NTFS权限来保护它。

Answer 2

• 首先，确保域\myusername完全控制文件夹及其内容。
• 只要这些组中没有需要访问该文件夹的本地用户帐户(备份软件或数据库等服务或应用程序可能需要这些帐户)，就可以安全地删除管理员(hostname\Administrators)和用户(hostname\ user )。如果存在此类用户帐户，则在从文件夹中删除组权限之前，应为这些用户分配显式权限。
• 不要删除系统的权限。