Remove From My Forums

Nastavení oprávnění ve sdílené složce Windows 10

Dotaz
0

Přihlásit se a hlasovat

Dobrý den, mám dva počítače s Windows 10 Pro a na každém je přihlášený určitý uživatel. Na jednom počítači, ještě navíc běží služba MyQ server, přes který se zpracovávají tisky a skenování. A právě s tím skenováním mám problém nebo spíš s nastavením sdílené složky a k ní oprávněním. Pokud je sdílená složka na počítači, kde běží MyQ server, tak tam uložení proběhne v pořádku. Ale pokud nasdílím složku na druhém počítači a přiřadím ji oprávnění zápisu těch dvou uživatelů nebo jsem zkoušel i everyone, tak mi to vykazuje chybu a soubor se mi tam neuloží. V návodu k MyQ je uvedeno, že bych měl povolit zápis počítači, kde MyQ server běží, ale takovou možnost ve sdílení a typech objektů nemám. Potřeboval bych prosím poradit, jak to nastavit, aby mi to fungovalo.

úterý 23. června 2020 16:18

Reagovat

|

Citovat

Všechny reakce

0

Přihlásit se a hlasovat

Je potreba si uvedomit, ze bez domeny/AD je vemi omezena moznost overovani. Pro bezesve overeni uzivatele ze vzdaleneho pocitace bez AD je nutne, aby v LOKALNI SAM databazi "serveru" existoval ucet stejneho jmena a hesla, jako na vzdalenem ("klient") pocitaci. Bohuzel, ucty pocitacu z principu NEMAJI v SAM databazi zaznamy.

Neznam MyQ, ale MOZNYM resenim by bylo nastavit beh sluzby MyQ pod specialnim uzivatelskym uctem (dejmetomu MyQ_Service), ktery bude se STEJNYM heslem existovat i na pocitaci, na ktery bude sluzba MyQ ukladat data po siti a samozrejme bude mit patricna NTFS a SMB opravneni)

MP

úterý 23. června 2020 16:39

Reagovat

|

Citovat

Moderátor
0

Přihlásit se a hlasovat
Práva která získáš vzdáleně jsou dána průnikem práv která nastavíš na sdílení a místních práv na NTFS (záložka zabezpečení).

Takže i když jsi nastavil práva na sdílení EveryOne, tak pokud se ten vzdálený uživatel nemá práva v NTFS, tak se tam nedostaneš.

Navíc práva na skupinu Administrators by byla použita jen po elevaci což se na dálku špatně dělá.

Jak máš nastavevé práva NTFS na tom adresáři kde MyQ leží?

Jak moc to má být ochráněné na přístup ostatních uživatelů/skupin (kvůli útoku)?

JCH
- Upravený Jan Chaloupek středa 24. června 2020 10:06
středa 24. června 2020 10:02

Reagovat

|

Citovat
0

Přihlásit se a hlasovat
Everyone je:

zoufalost nejhrubsiho zrna
definovane GP. I kdyz to laikovi neni na prvni pohled jasne, chovani Everyone souvisi s autentikaci. V zavislosti na stavu Guest accountu atd. znamena Everyone bud (trochu zjednodusuju):
- kdokoliv
- kdokoliv AUTENTIKOVANY

MP
- Upravený Miroslav PráglModerator středa 24. června 2020 10:32
středa 24. června 2020 10:28

Reagovat

|

Citovat

Moderátor
0

Přihlásit se a hlasovat

Máme tady jen dva počítače, které nejsou v doméně, ale ve skupině. Na každém počítači se může uživatel přihlásit svým uživatelským jménem a heslem, jako na svém počítači.

To jsem právě nejspíš nastavil, služba MyQ běží pod uživatelem, který je na počítači přihlášen a tak jsem na druhém počítači vytvořil stejný uživatelský účet a heslo. A do sdílené složky jsem přidal práva SMB a NTFS taky. Tedy doufám, že práva NTFS se zadávají ve vlastnostech složky a položka zabezpečení. Všemu jsem přidělil všechna práva, ale stejně to nejde.

středa 24. června 2020 13:12

Reagovat

|

Citovat
0

Přihlásit se a hlasovat
No a myslíme službou oba to stejné?

Služby jsou procesy, které běží před přihlášením uživatele a rozhodně nejsou normálně nastaveny aby běželi pod účtem uživatele (i když tak mohou být nastaveny). Pod jakým účtem běží se podívej do seznamu služeb a tam ve vlastnostech kontrétní služby uvidíš pod jakým účtem běží a jde to tam i změnit.

JCH
- Upravený Jan Chaloupek středa 24. června 2020 13:20
středa 24. června 2020 13:20

Reagovat

|

Citovat
0

Přihlásit se a hlasovat

NTFS práva jsem myslím taky nastavil, tedy pokud se zadávají ve vlastnostech složky a položka zabezpečení.

Jak máš nastavevé práva NTFS na tom adresáři kde MyQ leží?
Je to chápáno tak, jako jaká práva jsou na sdílené složce, kam chci ukládat? Všem jsem tam dal všechna práva.

Jsme tady jen dva uživatelé, ale vždy jsem se právě snažil, aby do sdílených složek měli přístup jen ti dva uživatelé pod svými uživatelskými a hesly. Jinak je to složka do které se bude jenom skenovat a po zpracování toho skenu se ze složky soubor vymaže.

středa 24. června 2020 13:22

Reagovat

|

Citovat
0

Přihlásit se a hlasovat

No a komu je to všem?

Tam jde přidat do dalších řádků skupina nebo uživatel a práva mohou mít každý jinak. A rozhodně tam ve výchozím nastavení nejsou všichni uživatelé a všechny skupiny, protože to ani nemá smysl.

Jaké skupiny a uživatele tam máš nastavené a porovnej to s uživatelem pod kterým běží ta služba?
JCH

středa 24. června 2020 13:38

Reagovat

|

Citovat
0

Přihlásit se a hlasovat
Vyzkoušej to ručně. Pokud tu složku z jiného počítače připojíš pod tím uživatelem kterým chceš, můžeš tam založit nový soubor a smazat ho?

Pokud ano, pak jde jen o to zabezpečit aby se služba spuštěla pod tím uživatelem který chceš.

A pokud je služba jedna (na jednom počítači) tak nemá smysl tam mít přístup pro 2 uživatele. Pokud se služba spouští 2x (na 2 různých počítačích) a každý z nich běží pod jiným účtem, pak má smysl aby jsi nastavoval přítup pro 2 uživatele (i když je to zbytečné a mohl by to být jen jeden uživatelský účet).

JCH
- Upravený Jan Chaloupek středa 24. června 2020 13:51
středa 24. června 2020 13:41

Reagovat

|

Citovat
0

Přihlásit se a hlasovat

Aha, tak to jsem myslel já špatně. Díval jsem se tedy do služeb MyQ a je tam zvoleno hned první položka Místní systémový účet. Myslíš, že bych to měl nastavit na uživatele, který standardně na tom počítači pracuje?

středa 24. června 2020 15:33

Reagovat

|

Citovat
0

Přihlásit se a hlasovat

Tak jsem to nastavil ve službách to MyQ na uživatele, který se tam standardně přihlašuje a už to funguje :-) Děkuji za radu

středa 24. června 2020 15:47

Reagovat

|

Citovat
0

Přihlásit se a hlasovat

Mám tam nastavené oba uživatele se všemi právy a skupiny Everyone, System a Administrators

středa 24. června 2020 15:51

Reagovat

|

Citovat
0

Přihlásit se a hlasovat

Ano, nahrát nový soubor nebo ho smazat z té sdílené složky lze.

Koukám, že nejdůležitější bylo, aby se služba spouštěla pod daným uživatelem a ne jako Místní systémový účet.

středa 24. června 2020 15:58

Reagovat

|

Citovat
0

Přihlásit se a hlasovat

LocalSystem je hodne specificky a hlavne VELMI PRIVILEGOVANY ucet, takze se jeho pouzivani pro sitove (tedy potencialne napadnutelne) sluzy celkem dlouho nedoporucuje. Ale vono pod nim vsechno funguje (a v domenovem prostredi tuplem), takze to u nej nakonec casto skonci.

Ale ze by to dodavatel SW (MyQ) podporoval (explicitne popisoval potrebu nastaveni prist. prav pro ucet POCITACE) mi prijde uchylne, neprofesionalni a nezodpovedne. Toto jsou proste veci, ktere se nemaji delat, presto je vsichni delaji - a proto se o nich mlci.

Doufam, ze jsem ti nezamotal hlavu.

MP

středa 24. června 2020 20:32

Reagovat

|

Citovat

Moderátor
0

Přihlásit se a hlasovat

Ta přístupová práva pro počítač jsem našel v dřívějším manuálu pro verzi MyQ 5.2, nyní máme verzi 7.1.8, níže je to vidět. Proto jsem to nejdřív se snažil udělat podle návodu.

No hlavu jsi mi trochu zamotal. Nejsem takový profík, jako ty, ale rád si nechám poradit. Aha, tak já obrázky vkládat nemůžu koukám, tak to bude bez obrázku

DF

čtvrtek 25. června 2020 15:16

Reagovat

|

Citovat
0

Přihlásit se a hlasovat

Obrazky a jine veci uplnym novackum nejdou, aby to nezneuzivali spameri.

Ten navod neni vylozene spatny ci nefunkcni, jen tak nejak nepocita s ne-domenovym prostredim a ignoruje best practices :/

MP

čtvrtek 25. června 2020 17:19

Reagovat

|

Citovat

Moderátor