none
Práva na podsložky

    Dotaz

  • Dobry den,

    potreboval bych poradit s jednou veci. Mam Win SRV 2008 STD a na nem nastavene sdilene adresare, plus pozmenena prava na podadresare, nicmene funguje tam dedeni prav. UAC na serveru je zapnute, server funguje jako aplikacni a TS.

    A ted k problemu: Jakmile ma uzivatel pristup do nejake konkretni slozky a ma pravo vytvaret soubory ci podslozky, tak kdyz vytvori podslozku tak i na tuto podslozku se zdedi nadrazena opravneni, nicmene se do opravneni pripisou i prava na konkretni uzivatelsky ucet ktery slozku podslozku prave vytvoril.

    Neda se toto nejak zakazat? Potrebuji aby se tam propisovala pouze zdedena opravneni.

    Diky moc za rady.

    Honza


    Šerý

    středa 24. září 2014 7:55

Odpovědi

  • 1. Zruš na nadřazené složce právo pro "Creator owner".

    2. To chování, které popisuješ je nějaký skutečný nebo jenom "kosmetický" problém? Když ten uživatel má na danou složku práva skrze členství ve skupině, tak si myslím, že až tak nevadí, když je tam duplikován přes username.


    BB

    • Označen jako odpověď Jendislav pátek 26. září 2014 5:52
    středa 24. září 2014 13:11

Všechny reakce

  • Ano, zakazte dedeni prav z nadrazeneho adresare (resp disku). Priradte uzivatelum minimalni prava dostatecna k tomu, aby mohli pracovat v planovanem rezimu. Nepracujte se zakladnimi (basic)ale rozsirenymi (detailnimi, advanced) pravy.

    Zauvazujte take na nasazeni ABE ( access based enumeration).

    M


    středa 24. září 2014 10:57
    Vlastník
  • Dobry den,

    ted nevim jestli jsme se dobre pochopili, mozna jsem to spatne popsal.

    Prava moc orezat nemuzu, pokud mi do podslozky uzivatel musi vkladat a editovat, tak s tim nic neudelam a prava uz jim vice orezat nemohu. Prava vzdy nastavuji pres advanced, nikdy ne pres basic. Dedeni opravneni tedy potrebuji, nemohu nastavovat prava na podslozky az do hlouby 7 adresaru proc 50 slozek.

    Potrebuji zajistit jen to ze pokud mi tam uzivatel vytvori podslozku, ci ji tam nakopiruje tak aby prava na ni se zdedila z nadrarene slozky (coz je spravne) ale aby se tam nepridala prava na ten konkretni ucet ktery podslozku vytvoril/vlozil.

    Jen jeste dodam ze je to Win SRV 2008 STD ale klienti nejsou v domene ani nemaji system k tomu urceny, vse to jsou home edice xp, win 7 a win 8.1.


    Šerý


    • Upravený Jendislav středa 24. září 2014 11:38 Uprava
    středa 24. září 2014 11:35
  • Mel jsem na mysli odstrizeni prav na rootu sdileni.

    Starat se o 7 urovni podadresaru nepovazuji za rozumne. Snazte si vytvorit takovou strukturu, abyste si nekomplikoval zivot (napriklad do urovne 2). Vytvorte pravidla a nechte si je schvalit vedenim.

    Predpokladal jsem praci v domene. Prace ve skupine je o mnoho slozitejsi, protoze musite nastavovat prava na klientu i na serveru.

    Myslim, ze jste si zkomplikoval zivot...

    M.

    středa 24. září 2014 11:48
    Vlastník
  • Bohuzel jak jsem to prebral, tak s tim pracuji. Verte mi ze v teto firme to nelze vyresit jinak ani kdybych sebevic chtel. Proste musim delat s tim co tam maji ikdyz se mi to nelibi. Klienti holt jsou obycejne stanice a server je obycejny file server a DC zaroven.

    Nicmene tedy je nejake reseni? Pokud se mi klient se stanice pripoji na share, vleze do podadresare kam potrebuje a tam vlozi nejake slozky, tak aby si to prebrala pouze z nadrazene a nedavala tam prava na konkretniho uzivatele?


    Šerý

    středa 24. září 2014 11:55
  • 1. Zruš na nadřazené složce právo pro "Creator owner".

    2. To chování, které popisuješ je nějaký skutečný nebo jenom "kosmetický" problém? Když ten uživatel má na danou složku práva skrze členství ve skupině, tak si myslím, že až tak nevadí, když je tam duplikován přes username.


    BB

    • Označen jako odpověď Jendislav pátek 26. září 2014 5:52
    středa 24. září 2014 13:11
  • Diky za radu. Zkusim to vecer.

    Problem je to kosmeticky, nicmene v teto firme je i kosmeticky problem tak dulezity ze ohrozuje chod firmy :D

    Nicmene do budoucna kdybych toho cloveka preradil do jine skupiny tak uz to asi muze delat problemy...


    Šerý

    středa 24. září 2014 13:27
  • Tak jsem to otestoval a vypada to ze mate pravdu. Smazal jsem u jedne slozky Creator owner, vytvoril jsem soubor a prava na uzivatele tam nejsou propsana.

    Nicmene v tom pripade jsem v takove te hnede dire co ma clovek vzadu, pac nejsem schopen toto smazat, vzhledem k tomu ze prava na adresare nejsou dedena az do hloubky 5 adresaru treba a to u nekolika desitek slozek... :-/

    kazdopadne diky moc.


    Šerý

    středa 24. září 2014 13:42
  • Co nemuzete smazat, tak v tom pripade nastupuje take ownership.

    Mne to pripada, ze to je velmi obtizny problem. Muzete nasadit skripty, pomoci kterych muzete upravovat prava na vicero  mistech najednou.

    Dalsi moznosti, jak modifikovat prava je deny (to ma prednost).

    M.

    PS: Nekdy je lepsi odmitnout kseft, kdyz zakaznik trva na nesmyslnych vecech. Jinak se zahrabete a ztratite spoustu casu a navic bez rozumneho reseni. To ze pred vami radil v systemu naprosty amater vam uz nepomuze, pokud ukol prijmete.


    středa 24. září 2014 18:55
    Vlastník
  • Pokud jste zamestnanec tak si nemuzete moc vybirat.

    Kazdopadne reseni od kolegy asi zabralo. Jeste to budu sledovat. Odstraneni techto prav nastesti take netrvalo tak dlouho. 

    Diky vsem :)


    Šerý

    pátek 26. září 2014 5:53