none
Nastavení práv sdílených složek

    Dotaz

  • Zdravím, dají se sdílené složky nastavit tak, aby platilo, že jedna skupina se soubory v ní může vše, ale druhá skupina může jenom číst, s tím, že upravovat soubory může jenom uživatel, který soubor do složky umístil?

    tzn. jsme ve škole

    žák má možnost přístupu na jeden sdílený disk, kam má mít možnost se připojit a může soubory číst. Může i zakládat nové soubory a upravovat svoje které na sdílený disk vloží, ale nemůže upravovat soubory jiných žáků.

    Je tahle situace možná na Windows Server 2016?

    Díky moc.

    29. prosince 2016 13:03

Odpovědi

Všechny reakce

  • Ano.

    MP

    29. prosince 2016 17:10
    Moderátor
  • Díky za info :) A nakopneš mě prosím jakým směrem to jde udělat?

    Prakticky mi nejde do hlavy to, že buď můžu dát uživateli ve skupině práva ke čtení a nebo k zápisu - ale zápis znamená jak úprava souboru, tak i vytvoření... Patrně co jsem pátral to bude asi přes skupinu Creator Owner - mělo by stačit ji nastavit na zápis?

    Ale pak nechápu, když tam bude ještě stejná skupina uživatelů, které bude mít zápis zakázán (aby nemohli měnit cizí soubory), bude to takto stačit? Předpokládám že to funguje tak, že kdy uživatel patří do dvou skupin z nichž jedna má zápis zákazán a druhá povolen, tak zápis možný nebude. Je to tak?

    Díky moc.

    30. prosince 2016 22:40
  • Ano, CREATOR OWNER je řešení. A máš pravdu s tím, že odepření práv má přednost před povolením.

    Takže to nastav takto:

    1. Skupině, která může soubory editovat, nastav právo měnit.

    2. Skupině, která může jen číst, nastav právo číst.

    3. Pro CREATOR OWNER nastav právo měnit.


    BB

    31. prosince 2016 13:09
  • Dik. Jen bych upresnil: neni pravda, ze odepreni prav ma prednost pred povolenim. Zalezi na to, z jake dalky prichazi Allow a z jake Deny. Pokud ze stejne, vyhraje Deny. Je-li ale Allow z mensi dalky, vyhraje allow nad deny (!!!).

    Zjednodusene: explicitni allow ma prednost pred zdedenym Deny.

    MP

    1. ledna 2017 19:51
    Moderátor
  • " Zalezi na to, z jake dalky prichazi Allow a z jake Deny. Pokud ze stejne, vyhraje Deny. Je-li ale Allow z mensi dalky, vyhraje allow nad deny (!!!). "

    Opravdu? Já celou dobu žiji v domění, že Deny má přednost před Allow bez ohledu na cokoliv dalšího. Musím testnout. :o)


    BB

    2. ledna 2017 6:42
  • Prave proto, ze je to tak casty omyl, jsem sem psal ;-)

    Testni!

    MP

    2. ledna 2017 6:59
    Moderátor
  • No fakt. :o) Teď jsem to testoval a opravdu je to jak píšeš.

    Díky, zase jsem o nepatrný kousek chytřejší . . .


    BB

    2. ledna 2017 14:50
  • JJ. Nekolikrat jsem zvazoval, zda to sem napsat ... ale nakonec jsem si rekl ze by to precejen mohlo byt uzitecne ;-)

    MP

    2. ledna 2017 14:56
    Moderátor
  • Tak jsem to nastavil, ale i tak mi to moc nefunguje. Skupina zaci nemá oprávnění na disk zapisovat. Takže mi asi nefunguje to providlo Creator owner. Na tom obrázku - učitele mají mít plné oprávnění, žáci jen číst soubory ostatních uživatelů a možnost upravovat svoje soubory. Tušíte, kde by mohl být problém? Díky :)
    6. ledna 2017 7:41
  • Zkus změnit platnost pravidla pro CREATOR OWNER na "Tato složka, podsložky a soubory."


    BB

    6. ledna 2017 7:45
  • Tak bohužel, ani po změně to nejede. Skupina "zaci" nemuze soubory přidávat. Ale funguje to, že pokud ten žák vytvoří soubor (když skupině povolím zápis) a pak ten zápis vypnu a nechám jen čtení, ale s pravidlem Creator Owner, tak ten soubor, co ten žák vytvořil, může i editovat. Takže skoro to funguje, ale ještě nějak vyřešit to přidávání nových souborů...

    Jinak díky moc.

    13. ledna 2017 15:09
  • Toto je naproste minimum:

    (Administrators maji full, ale to neni podstatne)

    MP

    13. ledna 2017 15:20
    Moderátor
  • Výborně, už to jede :) Díky!
    13. ledna 2017 19:36
  • A ještě malá úprava - je možné nastavit složku tak, aby ty soubory nebylo možné ani otevřít nebo aby je jiný uživatel ve skupině neviděl? Tak jak je to nastaveno výše, tak:

    uživatel A soubor vytvoří, může jej editovat a mazat

    uživatel B soubor vytvoří, nemůže jej editovat ani mazat

    -> šlo by aby uživatel B soubor ani neviděl?


    7. února 2017 8:38
  • Strane zalezi na aplikaci, jak k souboru pristupuje. Pokud sekvencne a jednorazove, zacni s pouhym pravem Create files / Write data ci Append Data

    MP


    7. února 2017 8:46
    Moderátor
  • Funguje nám to tak, jak potřebujeme, pokud máme práva nastavená následovně:

    Ovšem funguje to pouze tehdy, pokud ke složce přistupuji skrz link (\\IP\adresář). Pokud ho namapujeme jako síťový disk, své soubory vidíme, ale pokud chci nějaký nový zapsat, ukáže nám to následující hlášku.

    Pokud si vyjedu vlastnosti mapovaného disku (přes pravé tlačítko), nevidíme nastavená práva. Pouze chybou hlášku, že práva nemůžeme číst. Pokud v nastavení práv na serveru zaškrtnu i možnost "číst rozšířené atributy", tak sice můžeme zapisovat i přes mapovaný disk, ale vidíme opět celý obsah té složky (věci i od ostatních uživatelů a můžu je otevřít).

    Zdá se nám, že pokud jsme přistupovali skrz W10, tak s tím takové problémy nebyly. Fungovalo nám to i přes namapovaný disk. Je možné, že by to bylo tím? Nemáte nějaký nápad? Děkuji.

    7. února 2017 17:03
  • Nikoho nic nenapadá? Je to zvláštní problém - teoreticky by to mohla být nějaká vzájemná nekompatibilita mezi W7 a W2016 serverem....
    9. února 2017 16:40
  • No, asi se s tím nepůjde nic dát udělat, že? Když je klient W7. Přimět server aby komunikoval místo ve verzi 3.1 verzí 2 asi nebude možné...

    Nebo by možná šlo udělat zástupce v průzkumníku, ale to by se muselo udělat v doméně. Nešlo by něco takového tam pro všechny počítače vložit? Někam do té kolonky rychlý přístup?

    Díky moc.

    16. února 2017 16:23
  • Teď nerozumím. Miloš Puchta Ti přece dal jasný návod. Četl jsi ty odkazy vůbec?

    Pokud máš server 2016 a klienty Win 7, tak na serveru zakaž SMB protokol v3.


    BB

    17. února 2017 7:17
  • "When you enable or disable SMBv2 in Windows 8 or in Windows Server 2012, SMBv3 is also enabled or disabled."

    Takže když chci zakázat jen SMBv3, zakáže se i SMBv2. Chápu to dobře? Nebo to v tom nevidím?

    17. února 2017 8:45
  • Nevím, ale nejspíše ne.

    "When you enable or disable SMBv2 in Windows 8 or in Windows Server 2012, SMBv3 is also enabled or disabled." - tohle má logiku

    Takže když chci zakázat jen SMBv3, zakáže se i SMBv2. - tohle naopak logiku nemá.


    BB

    17. února 2017 8:48
  • Tak když jsme zakázali v2 a nechali povolené jen v1, tak se to rozjelo. Takže super :) Ale přímo jako možnost zakázat v3 tam v možnostech není...
    17. února 2017 10:18