Nejčastěji odpovídající uživatel
sdílené složky win server 2008r2

Dotaz
-
Dobrý den,
je sdílená složka, do které může skupina uživatelů, dále v této složce jsou podsložky, do kterých můžou dle oprávnění zabezpečení určití uživatelé. Jak doladit, aby uživatelé neviděli složky, do kterých nemohou? Podle čeho či jakých pravidel je potřeba se řídit.
U jedné sdílené složky to funguje, která je sdílená na jiném disku než systémovém a uživatel musí být ve skupině jen domain users, jakmile je domain admins, vidí všechny složky, ale vstoupit samozřejmě do nich nemůže. Toto bych také potřeboval doladit, aby složky do kterých nemůže nebyli vidět.
Děkuji
Karel Witzko
Odpovědi
-
Zapnete na sdileni Access Based Enumeration
Viz http://blogs.technet.com/b/hugofe/archive/2010/06/21/windows-2008-access-based-enumeration-abe.aspx
- Navržen jako odpověď Ing. Ondrej Žilinec čtvrtek 10. dubna 2014 7:13
- Označen jako odpověď Milos PuchtaModerator čtvrtek 10. dubna 2014 8:50
Všechny reakce
-
Zapnete na sdileni Access Based Enumeration
Viz http://blogs.technet.com/b/hugofe/archive/2010/06/21/windows-2008-access-based-enumeration-abe.aspx
- Navržen jako odpověď Ing. Ondrej Žilinec čtvrtek 10. dubna 2014 7:13
- Označen jako odpověď Milos PuchtaModerator čtvrtek 10. dubna 2014 8:50
-
-
děkuji, ještě ale maličkost bych potřeboval, pokud je uživatel ve skupině domain admins, a i když v zabezpečení složky a oprávnění ke sídlení domain admins není uveden, tak uživatelé s oprávnění domain admins vidí vždy všechny složky, několik uživatelů v doméně mají toto oprávnění, lze někde domain admins omezit aby také neviděli všechny složky??
Děkuji
Karel Witzko
-
Administratori se rozdeluji do dvou skupin. V te prvni si uz pod sebou urezali vetvicku a tu druhou skupinu to teprve ceka.
Zvazte nasledujici moznost. Uzivatele, ktere chcete izolovat a kteri maji prilis velka prava i tam, kam je nechcete pustit dejte do skupiny a teto skupine pridelte Deny.
M
-
oni nemají přístup do daných složek, ale přesto je vidí bez možnosti vstupu, vidí je protože jsou ve skupině domain admins a pravděpodobně pro tuto skupiny někde v politice se nebude týkat funkce Access Based Enumeration, potřebuji je ale mít v této skupině, jelikož tito uživatelé mohou instalovat. Chledám zda to někde v politice domény jde doladit, ale nikde to tam nevidím.
-
-
teď jsem to zkusil, přímo přidal jsem do zabezpečení přímo skupina domain admins a blokace, ale tím zase odepřu přístup uživatelům, kteří jsou ve skupině domain admins a přitom jsou ve skupině server, která má do jedné složky čtení a a druhou by ne. Je to pak v kolizi, ta domain admins je nadřazené koukám pro vše :-(
-
pro domain admins prostě Access Based Enumeration nefunguje :-(, ti uvidí vše, sice bez přístupu vstoupit, ale složku uvidí :-(. pokud zablokuji, aby složku domain admins neviděli, tak dojde ke kolizi, jelikož dva rozdílní uživatelé, kteří mají domain admins, ale rozdílné skupiny pro složky si navzájem odepřou přístup :-(
-
příkladem uvedu:
uživatel A, domain admins,
uživatel B, domain admins,
uživatel C, domain user.
složka je sdílená skupině jen uživatelům data jde jsou členové A, B, C, a zabezepčená jen pro složku bez podsložek pro tuto skupinu data. Podložky jsou A, B, C, uživatel A může do složky A. Uživtel B může do složky B. Uživatel C může do C.
Uživatel C, vidí jen složku svou a to C. Uživatel A i B vidí všechny složky, ale můžou jen do svých složek.
Problém je v tom, že skupina domain admins neakceptuje nastavení Access Based Enumeration, skupině domain admins si myslím, musí jít někde toto v politice odepřít?
Děkuji
Karel Witzko
-
-
1. Vytvoreni skupiny s urcitymi pravy - to je standardni zpusob a nevim, proc by zde mela byt vyjimka. Pokud to jde, tak by prace se skupinami mela mit prednost pred praci s jednotlivymi uzivateli.
2. Uzivatelu s pravy "domenoveho administratora" nepochybne nebude velke mnozstvi. Rozumne je tedy pro kazdeho vytvorit adresar, ktery se sdili prave jen pro nej.
3. V uvadenem pripade mozna budou od sameho zacatku nakonfigurovane prava spatne. Je dobre pracovat s minimalnimi pravy, ktere se realizuji pomoci specialnich prav (vyberem podmnoziny) a s prerusenim dedeni z rootu na sdileny adresar.
4. Jak jsem se zminoval drive - ted jinymi slovy - uzkostna paranoia muze casem vest k vasemu vlastnimu zablokovani. Domenovy administrator je tu take proto, aby pomohl uzivatelum v pripade nesnazi. Pokud by slo o nejake supertajne pracoviste, pak budete muset pouzit nastroj tretich stran pro jemnejsi management pristupu a take audit...
M.
-
-
Reaguji s odstupem casu na navod Tomase Kalabise:
Navod je pekny, ale pro WS2012R2. My tu resime WS2008R2, kde je graficke prostredi jine.
M.
- Upravený Milos PuchtaModerator pátek 11. dubna 2014 9:26