AD網路芳鄰的權限問題 - Windows

※ 引述《JohnThunder (JohnThunder)》之銘言：
: 如標題
: 現在自己架設了一台AD，想說開Share分享檔案。
: A_F、B_F、C_F 三個資料夾
: 設定A、B、C能讀取自己的資料夾，
: 對別人完全不能讀取。
: 權限設定沒問題
: 假設domain name = example.org
: 環境1:網路芳鄰連接\\example.org\
: 可以切入非自己群組的資料夾
: 但是看不到東西和無法寫入。
: 環境2:連結\\example.org.\
: 多了一個.之後，
: 對非自己群組的就不能切入資料夾，
: 也就無法寫入讀取。
: 當然直接打IP的話就跟環境2一樣
: Q1:請問多了那一個"."，那個作用是甚麼?
: Q2:資料夾總共總共有3個地方可以設定權限，取得權限的順序是?
: 懇請各位知道的人解惑

沒想到七年前的自己問了一個這樣的問題，

七年後的我心血來潮來做回覆，同時也是想把這個解答留在 PTT 上

以供以後的人能夠查到，讓知識不被資訊黑洞吸走。

以下是回答的問題

Q1:請問多了那一個"."，那個作用是甚麼?

A1:

首先要知道當我們使用 \\example.org\ 連線網路共用檔案
的時候，使用 FQDN 在 AD 環境中的 Windows 預設會走了 kerberos 為驗證
方式

而多了一個 "." ，連線 \\example.org.\ 的時候，也會走 kerberos，而後面加入 "." 在 TGS 階段會得到 error-code: KRB5KDC-ERR-S-PRINCIPAL-UNKNOWN (7)，而這個訊息則是代表找不到 PRINCIPAL Name。

所以做了一個簡單的實驗，錄下網路封包我們可以觀察到，TGS 失敗後 Windows client 從 kerberos 驗證 downgrade 成 NTLM 驗證
https://i.imgur.com/7i2UhTv.png

對於這段 Server Principal Lookup 流程感興趣的可以看微軟文件:
https://reurl.cc/bRp1Al


而 DNS 正規格式本來就是要 "."結尾的，但結尾不輸入 "." 也是可以解析成功，
所以 example.org. 這個 domain name 是可以正常被解析出 IP ，才導致問題敘述中跟輸入 IP 的狀況一模一樣。

簡而言之，多了那一個 "." 從 kerberos 改走 NTLM 驗證， DNS 能夠成功解析帶有 "."結尾的 domain 所以導致連線看起來一切正常。


Q2: 資料夾總共總共有3個地方可以設定權限，取得權限的順序是?
A2: 這讓我通靈了一下，當初的我到底在問哪三個地方的設定。

最後總算整理出來三個地方，這三個地方都在目錄右鍵內容中，以下以英文版 win10 為描述:
1. Sharing Tab 中 share 按鈕，在此設定的權限會修改到 Share & NTFS Permissions
2. Sharing Tab 中 Advanced Sharing ，在此設定的權限只會套用到 Share Permissions
3. Security Tab 的權限設定則為 NTFS Permissions

簡短歸納一下，主要分享需要注意兩個權限 Share Permissions & NTFS Permissions ，詳細說明和如何正確設定權限可以參考微軟文件。
https://reurl.cc/N6ez9n

幫七年前的我補充的第三個問題

Q3: 為甚麼加入 "." 會有權限的不同

A3: 這其實有點通靈，但應該牽涉到 Q1 的問題，只能推論當年測試的環境在連線 NTLM 的 file server 登入的身分是其他的帳號。
因為牽扯到 windows 系統的權限設計，我覺得不可能同一組 SID 有兩種不同結果。


雖然上面回答問題比較簡單，但背後可以追的內容其實很多，例如: Microsoft AD
kerberos 驗證中帶的各種欄位、Windows 權限設定與 file server 應該如何正確的做
權限設定...

感謝 PTT 讓我重溫七年前的問題



--