none
sdílené složky win server 2008r2

    Dotaz

  • Dobrý den,

    je sdílená složka, do které může skupina uživatelů, dále v této složce jsou podsložky, do kterých můžou dle oprávnění zabezpečení určití uživatelé. Jak doladit, aby uživatelé neviděli složky, do kterých nemohou? Podle čeho či jakých pravidel je potřeba se řídit.

    U jedné sdílené složky to funguje, která je sdílená na jiném disku než systémovém a uživatel musí být ve skupině jen domain users, jakmile je domain admins, vidí všechny složky, ale vstoupit samozřejmě do nich nemůže. Toto bych také potřeboval doladit, aby složky do kterých nemůže nebyli vidět.

    Děkuji

    Karel Witzko

    středa 9. dubna 2014 22:00

Odpovědi

Všechny reakce

  • Zapnete na sdileni Access Based Enumeration

    Viz http://blogs.technet.com/b/hugofe/archive/2010/06/21/windows-2008-access-based-enumeration-abe.aspx

    čtvrtek 10. dubna 2014 6:07
  • Můj návod jak na to zde
    čtvrtek 10. dubna 2014 7:18
  • děkuji, ještě ale maličkost bych potřeboval, pokud je uživatel ve skupině domain admins, a i když v zabezpečení složky a oprávnění ke sídlení domain admins není uveden, tak uživatelé s oprávnění domain admins vidí vždy všechny složky, několik uživatelů v doméně mají toto oprávnění, lze někde domain admins omezit aby také neviděli všechny složky??

    Děkuji

    Karel Witzko

    čtvrtek 10. dubna 2014 18:21
  • Administratori se rozdeluji do dvou skupin. V te prvni si uz pod sebou urezali vetvicku a tu druhou skupinu to teprve ceka.

    Zvazte nasledujici moznost. Uzivatele, ktere chcete izolovat a kteri maji prilis velka prava i tam, kam je nechcete pustit dejte do skupiny a teto skupine pridelte Deny.

    M

    čtvrtek 10. dubna 2014 19:53
    Vlastník
  • oni nemají přístup do daných složek, ale přesto je vidí bez možnosti vstupu, vidí je protože jsou ve skupině domain admins a pravděpodobně pro tuto skupiny někde v politice se nebude týkat funkce Access Based Enumeration, potřebuji je ale mít v této skupině, jelikož tito uživatelé mohou instalovat. Chledám zda to někde v politice domény jde doladit, ale nikde to tam nevidím.
    čtvrtek 10. dubna 2014 20:00
  • Vy jste to behem osmi minut, ktere uplynuly od publikace meho prispevku vyzkousel, nebo vystrelujete jen tak od boku?

    M.

    čtvrtek 10. dubna 2014 20:07
    Vlastník
  • teď jsem to zkusil, přímo přidal jsem do zabezpečení přímo skupina domain admins a blokace, ale tím zase odepřu přístup uživatelům, kteří jsou ve skupině domain admins a přitom jsou ve skupině server, která má do jedné složky čtení a a druhou by ne. Je to pak v kolizi, ta domain admins je nadřazené koukám pro vše :-(
    čtvrtek 10. dubna 2014 20:17
  • pro domain admins prostě Access Based Enumeration nefunguje :-(, ti uvidí vše, sice bez přístupu vstoupit, ale složku uvidí :-(. pokud zablokuji, aby složku domain admins neviděli, tak dojde ke kolizi, jelikož dva rozdílní uživatelé, kteří mají domain admins, ale rozdílné skupiny pro složky si navzájem odepřou přístup :-(
    čtvrtek 10. dubna 2014 20:20
  • příkladem uvedu:

    uživatel A, domain admins,

    uživatel B, domain admins,

    uživatel C, domain user.

    složka je sdílená skupině jen uživatelům data jde jsou členové A, B, C, a zabezepčená jen pro složku bez podsložek pro tuto skupinu data. Podložky jsou A, B, C, uživatel A může do složky A. Uživtel B může do složky B. Uživatel C může do C.

    Uživatel C, vidí jen složku svou a to C. Uživatel A i B vidí všechny složky, ale můžou jen do svých složek.

    Problém je v tom, že skupina domain admins neakceptuje nastavení Access Based Enumeration, skupině domain admins si myslím, musí jít někde toto v politice odepřít?

    Děkuji

    Karel Witzko

    čtvrtek 10. dubna 2014 21:21
  • a co to neřešit přes Domain admins a vytvořit těmto uživatelům jinou skupinu s patřičnýma právama?
    pátek 11. dubna 2014 5:15
  • 1. Vytvoreni skupiny s urcitymi pravy - to je standardni zpusob a nevim, proc by zde mela byt vyjimka. Pokud to jde, tak by prace se skupinami mela mit prednost pred praci s jednotlivymi uzivateli.

    2. Uzivatelu s pravy "domenoveho administratora" nepochybne nebude velke mnozstvi. Rozumne je tedy pro kazdeho vytvorit adresar, ktery se sdili prave jen pro nej.

    3. V uvadenem pripade mozna budou od sameho zacatku nakonfigurovane prava spatne. Je dobre pracovat s minimalnimi pravy, ktere se realizuji pomoci specialnich prav (vyberem podmnoziny) a s prerusenim dedeni z rootu na sdileny adresar.

    4. Jak jsem se zminoval drive - ted jinymi slovy - uzkostna paranoia muze casem vest k vasemu vlastnimu zablokovani. Domenovy administrator je tu take proto, aby pomohl uzivatelum v pripade nesnazi. Pokud by slo o nejake supertajne pracoviste, pak budete muset pouzit nastroj tretich stran pro jemnejsi management pristupu a take audit...

    M.

    pátek 11. dubna 2014 6:17
    Vlastník
  • Vypadá to, že nejlepší řešením bude, vytvořit kopii skupiny domain admins a odebrat jí příslušné právo a použít jí pro dané uživatele :-)
    pátek 11. dubna 2014 7:16
  • Reaguji s odstupem casu na navod Tomase Kalabise:

    Navod je pekny, ale pro WS2012R2. My tu resime WS2008R2, kde je graficke prostredi jine.

    M.

    pátek 11. dubna 2014 9:11
    Vlastník