如何解决NTFS移动/复制设计缺陷？

正如处理文件服务器权限的任何人都知道的那样，NTFS具有一个有趣的设计功能/缺陷，称为“移动/复制”问题。

如所解释的该MS的知识库文章中，对于一个文件夹或文件的权限不会自动从父，如果文件夹被移动继承以及源和目的地是否相同NTFS卷上。如果复制了文件夹，或者源和目标位于不同的卷上，则继承权限。

这是一个简单的示例：

您在同一NTFS卷上有两个共享文件夹，分别称为“技术人员”和“管理人员”。“技术人员”组具有对“技术人员”文件夹的RW访问权限，而“管理者”组具有对“经理”文件夹的RW访问权限。如果某人可以同时访问这两个文件夹，并且他们将子文件夹从“ Managers”文件夹移至“ Technicians”文件夹，则移动的文件夹仍仅对“ Managers”组中的用户可用。即使位于“技术人员”文件夹下，“技术人员”组也无法访问该子文件夹，并且应该从顶部继承权限。

您可以想象，这会导致解决这些最终用户问题的支持电话，故障单和浪费的时间，更不用说如果用户经常在文件夹上不同安全文件夹/区域之间移动文件夹时可能会产生的大量麻烦。相同的音量。

问题是：

解决此NTFS设计缺陷的最佳方法是什么？如何在您的环境中处理它？

我知道链接的知识库文章讨论了一些用于更改Windows资源管理器默认行为的注册表项，但是它们是客户端的，并且要求用户具有更改权限的能力，如果您使用大多数环境，我认为这是不入门的想要控制您的文件服务器权限（以及您作为系统管理员的理智）。

我的方法是不使用文件/目录级别的文件权限。使用文件共享级别权限，并将整个服务器文件系统数据驱动器设置为“所有人完全控制”（将变得毫无意义）。

多年来（10多年），我发现NTFS权限更加复杂，并导致更多错误。如果权限设置错误或继承被破坏，则您将公开数据，并且很难找到和看到它。另外，您会说到移动/复制问题。

您必须使用目录/文件级别ACL的地方；我没有别的解决方案，除了定期进行健康检查。

好吧，这并不是一个缺陷。从NT3.1的beta 2版本开始，就已经制定了移动文件时处理权限的规则（尽管显然不是继承，因为仅在Windows 2000中才添加了继承）。它与Windows的任何功能一样广为人知。我很同情您的观点，因为在这一阶段，我们当中很少有人会为此感到沮丧。但这是系统管理员快速学习的东西。

JR

自NT 3.51以来，我们一直在使用NTFS，尽管我们已经看到了这个“问题”（几乎每个人都这样），但这并没有给我们带来很多麻烦：

• 我们总是告诉人们如果需要将文件从一个共享目录移动到另一个目录，则要复制文件。常见的短语是“拖动时按住CTRL键并确保显示小+”。
• 我们的共享文件夹具有相当简单的结构，并且我们创建的共享文件夹不会经常在组之间交叉，因此人们更倾向于首先复制文件。
• 我们通常在“公用”空间中看到问题，每个人都可以在其中读取/写入文件夹，但是这些目录的寿命很短，因此清除它们后问题就消失了。

我能想到的解决方法：

• 找到某种方式使具有不同权限的文件夹位于不同的NTFS卷上
• 进行计划任务（根据支持请求的频率，每小时一次或每天一次），该任务在文件夹中运行，并将所有权限重置为与顶层权限相同。这不理想，如果文件夹中有许多文件，则更不理想，但是如果没有很好的解决方案（例如服务器端注册表修复），这种方法可以解决问题。您要查看的命令称为“ cacls”，然后可以将其添加到批处理文件中。

免责声明-我来自UNIX背景（并且已经实现了最后一个以修复不同的权限缺陷-感觉很棘手，但确实可以完成工作），因此可能有更好的修复方法。

当以管理员身份迁移时，我使用xcopy / s / e / c / h / r / k / y-除文件所有权和ACL之外的所有内容，这意味着ACL继承会自动开始。从不需要真正处理用户的情况虽然搬东西。

我使用组策略/安全策略/文件系统来跟踪复杂的权限。（切勿使用策略中的“替换权限”）。

安排CACLS在夜间重置所有权限，然后再执行gpupdate / force重新应用策略中的权限。奇迹般有效。

从Windows 7（或Windows Vista）开始，如果移动文件夹并且源和目标位于同一NTFS卷上，则文件夹或文件DO的权限将从父级继承（如果通过资源管理器复制文件或文件夹）。在较早的操作系统中，您可以使用Far Manager-它允许启用从目标的权限继承（以及大量其他功能）。尽管Far对于一般用户而言似乎并不友好。

一个非常简单的解决方法是仅压缩文件并将其解压缩到目标目录。