sdílené složky win server 2008r2

Všechny reakce

• 

  

  1

  Přihlásit se a hlasovat

  Zapnete na sdileni Access Based Enumeration

  Viz http://blogs.technet.com/b/hugofe/archive/2010/06/21/windows-2008-access-based-enumeration-abe.aspx
  

  • Navržen jako odpověď Ing. Ondrej Žilinec čtvrtek 10. dubna 2014 7:13
  • Označen jako odpověď Milos PuchtaModerator čtvrtek 10. dubna 2014 8:50

  čtvrtek 10. dubna 2014 6:07

  Reagovat

  |

  Citovat
• 

  

  1

  Přihlásit se a hlasovat

  Můj návod jak na to zde

  čtvrtek 10. dubna 2014 7:18

  Reagovat

  |

  Citovat
• 

  

  0

  Přihlásit se a hlasovat

  děkuji, ještě ale maličkost bych potřeboval, pokud je uživatel ve skupině domain admins, a i když v zabezpečení složky a oprávnění ke sídlení domain admins není uveden, tak uživatelé s oprávnění domain admins vidí vždy všechny složky, několik uživatelů v doméně mají toto oprávnění, lze někde domain admins omezit aby také neviděli všechny složky??

  Děkuji

  Karel Witzko

  čtvrtek 10. dubna 2014 18:21

  Reagovat

  |

  Citovat
• 

  

  1

  Přihlásit se a hlasovat

  Administratori se rozdeluji do dvou skupin. V te prvni si uz pod sebou urezali vetvicku a tu druhou skupinu to teprve ceka.

  Zvazte nasledujici moznost. Uzivatele, ktere chcete izolovat a kteri maji prilis velka prava i tam, kam je nechcete pustit dejte do skupiny a teto skupine pridelte Deny.

  M

  čtvrtek 10. dubna 2014 19:53

  Reagovat

  |

  Citovat

  Moderátor
• 

  

  0

  Přihlásit se a hlasovat

  oni nemají přístup do daných složek, ale přesto je vidí bez možnosti vstupu, vidí je protože jsou ve skupině domain admins a pravděpodobně pro tuto skupiny někde v politice se nebude týkat funkce Access Based Enumeration, potřebuji je ale mít v této skupině, jelikož tito uživatelé mohou instalovat. Chledám zda to někde v politice domény jde doladit, ale nikde to tam nevidím.

  čtvrtek 10. dubna 2014 20:00

  Reagovat

  |

  Citovat
• 

  

  0

  Přihlásit se a hlasovat

  Vy jste to behem osmi minut, ktere uplynuly od publikace meho prispevku vyzkousel, nebo vystrelujete jen tak od boku?

  M.

  čtvrtek 10. dubna 2014 20:07

  Reagovat

  |

  Citovat

  Moderátor
• 

  

  0

  Přihlásit se a hlasovat

  teď jsem to zkusil, přímo přidal jsem do zabezpečení přímo skupina domain admins a blokace, ale tím zase odepřu přístup uživatelům, kteří jsou ve skupině domain admins a přitom jsou ve skupině server, která má do jedné složky čtení a a druhou by ne. Je to pak v kolizi, ta domain admins je nadřazené koukám pro vše :-(

  čtvrtek 10. dubna 2014 20:17

  Reagovat

  |

  Citovat
• 

  

  0

  Přihlásit se a hlasovat

  pro domain admins prostě Access Based Enumeration nefunguje :-(, ti uvidí vše, sice bez přístupu vstoupit, ale složku uvidí :-(. pokud zablokuji, aby složku domain admins neviděli, tak dojde ke kolizi, jelikož dva rozdílní uživatelé, kteří mají domain admins, ale rozdílné skupiny pro složky si navzájem odepřou přístup :-(

  čtvrtek 10. dubna 2014 20:20

  Reagovat

  |

  Citovat
• 

  

  0

  Přihlásit se a hlasovat

  příkladem uvedu:

  uživatel A, domain admins,
  

  uživatel B, domain admins,
  

  uživatel C, domain user.

  složka je sdílená skupině jen uživatelům data jde jsou členové A, B, C, a zabezepčená jen pro složku bez podsložek pro tuto skupinu data. Podložky jsou A, B, C, uživatel A může do složky A. Uživtel B může do složky B. Uživatel C může do C.

  Uživatel C, vidí jen složku svou a to C. Uživatel A i B vidí všechny složky, ale můžou jen do svých složek.

  Problém je v tom, že skupina domain admins neakceptuje nastavení Access Based Enumeration, skupině domain admins si myslím, musí jít někde toto v politice odepřít?

  Děkuji

  Karel Witzko

  čtvrtek 10. dubna 2014 21:21

  Reagovat

  |

  Citovat
• 

  

  0

  Přihlásit se a hlasovat

  a co to neřešit přes Domain admins a vytvořit těmto uživatelům jinou skupinu s patřičnýma právama?
  

  pátek 11. dubna 2014 5:15

  Reagovat

  |

  Citovat
• 

  

  1

  Přihlásit se a hlasovat

  1. Vytvoreni skupiny s urcitymi pravy - to je standardni zpusob a nevim, proc by zde mela byt vyjimka. Pokud to jde, tak by prace se skupinami mela mit prednost pred praci s jednotlivymi uzivateli.

  2. Uzivatelu s pravy "domenoveho administratora" nepochybne nebude velke mnozstvi. Rozumne je tedy pro kazdeho vytvorit adresar, ktery se sdili prave jen pro nej.

  3. V uvadenem pripade mozna budou od sameho zacatku nakonfigurovane prava spatne. Je dobre pracovat s minimalnimi pravy, ktere se realizuji pomoci specialnich prav (vyberem podmnoziny) a s prerusenim dedeni z rootu na sdileny adresar.

  4. Jak jsem se zminoval drive - ted jinymi slovy - uzkostna paranoia muze casem vest k vasemu vlastnimu zablokovani. Domenovy administrator je tu take proto, aby pomohl uzivatelum v pripade nesnazi. Pokud by slo o nejake supertajne pracoviste, pak budete muset pouzit nastroj tretich stran pro jemnejsi management pristupu a take audit...

  M.

  pátek 11. dubna 2014 6:17

  Reagovat

  |

  Citovat

  Moderátor
• 

  

  0

  Přihlásit se a hlasovat

  Vypadá to, že nejlepší řešením bude, vytvořit kopii skupiny domain admins a odebrat jí příslušné právo a použít jí pro dané uživatele :-)
  

  pátek 11. dubna 2014 7:16

  Reagovat

  |

  Citovat
• 

  

  0

  Přihlásit se a hlasovat

  Reaguji s odstupem casu na navod Tomase Kalabise:

  Navod je pekny, ale pro WS2012R2. My tu resime WS2008R2, kde je graficke prostredi jine.

  M.
  

  • Upravený Milos PuchtaModerator pátek 11. dubna 2014 9:26

  pátek 11. dubna 2014 9:11

  Reagovat

  |

  Citovat

  Moderátor