none
NTFS - prava vlastnika RRS feed

  • Dotaz

  • Hezky den,

    1) na C: vytvorim slozku  DATA

    2) nastavim prava ADMINISTRATORS a SYSTEM na FULL CONTROL,  USERS na CHANGE

    Uzivatele mohou v teto slozce vytvorit cokoliv (slozka, soubor), coz je spravne. Ale take bohuzel jelikoz vytvorenim se stanou vlastnici, tak ziskaji pravo FULL CONTROL, coz je spatne (ikdyz system se tak chova jak ma zadratovano). Spatne je to proto, ze potom muze jakykoliv uzivatel/vir zmenit opravneni na jakekoli podslozce(souboru), ktery vytvoril.

    Dotaz zni - vi nekdo, jak potlacit vlastnost OS, ze da vlastnikovi FULL CONTROL ? Chci aby v te slozce DATA mohl jen provadet souborove operace, ale nemohl menit prava na sebou vytvorenych objektech.

     

    BTW: Nejde mi o reseni typu "zakaz pres GPO kartu zabezpeceni" nebo "zakaz prikazy na zmenu opravneni"

     

    Dekuji

    čtvrtek 3. února 2011 7:32

Odpovědi

  • Chlapi, mám řešení !! !!

    Tohle je fakt na panáka, nezajdem někam Míro ? ;-)

     

    Řešení je vcelku jednoduché:

    Nastavit na danou složku oprávnění: OWNER RIGHTS - MODIFY

    Pak se to konečně začne chovat jak má :) Akorát teď budu mít hodně práce :-D

    • Označen jako odpověď Jan Janeček pondělí 7. února 2011 8:02
    pondělí 7. února 2011 8:02

Všechny reakce

  • Opravdu neni v ACLs "Creator Owner":Full?. Samozrejme muzes dat Users: deny change permissions/write advanced attributes ....

    MP

     

    čtvrtek 3. února 2011 8:08
    Moderátor
  • 1) neni

    2) to co radis - NEPOMUZE :-)

    Ikdyz zakaz ma vetsi prioritu nez povoleni - presto - toto je u VLASTNIKA vyjimka :)

    čtvrtek 3. února 2011 9:10
  • Vytvoril jsem adresar c:\data, odstranil jsem dedeni a nastavil jsem pro skupinu users Specialni prava, tedy jen to, co je treba. Co uzivatel vytvori to skutecne ma tu vlastnost, ze je tento uzivatel majitelem tohoto objektu. Ale ze by mel prava Full, tak to tu opravdu nevidim. (Mam Windows 7 Ent.)

    S pozdravem

    Milos Puchta

    čtvrtek 3. února 2011 10:37
    Moderátor
  • Samozrejme, to je v poradku, videt tam nejsou.

    Ale zkuste  (ikdyz vizuelne nemate) si prava na nejakou podslozku (co VYTVORI ten uzivatel) zmenit - pujde. Treba zakazat administratorum pristup, nebo sobe to fullcontrol dat .. ..

    I primo v napovede windows toto popsano je, ze to tak je.

    Proto hledam reseni jak toto VYPNOUT.

    A priznam se ze zatim v hledani krachuji (vse to potvrzuje) a jsem blizko presvedceni ze to nelze = brutalne stupidni.

    • Upravený Jan Janeček čtvrtek 3. února 2011 10:57 preklep
    čtvrtek 3. února 2011 10:56
  • Skutecne to tak bude. "Deny" neni resenim. Jiste racionalni jadro to ma. Kdyz neco vytvorite, tak chcete mit i moznost zmeny.

    S pozdravem

    Milos Puchta

    čtvrtek 3. února 2011 11:55
    Moderátor
  • 1) neni
    2) to co radis - NEPOMUZE :-)

    Ikdyz zakaz ma vetsi prioritu nez povoleni - presto - toto je u VLASTNIKA vyjimka :)


    Fakt ze jo :-O. Zkousel jsi to i pres sdileni?

    MP

    čtvrtek 3. února 2011 12:01
    Moderátor
  • Racionalni jadro tohle mit nemuze. Popira to veskerou filozofii zabezpeceni a veskerou logiku. Prava nastavuje administrator. A kdyz nechci aby mi uzivatel ZMENIL prava na to co vytvori (treba me jako admina zakazal, atp.) tak se to tak ma chovat, kdyz to v ACL je nastaveno.

    čtvrtek 3. února 2011 13:33
  • Sdileni jdu overit, zda to bude blokovat, kazdopadne lokalne to je jasny.

    Nemoh bys prosim na nejakych vyssich mistech neco k tomu najit, zda tohle chovani jde vypnout?

    Teda tohle konkretne, ne aby to nedelalo vlastnika, pak by nefungovaly kvoty.

    Jinak to je fakt na pytel :)

    Dik :)

    čtvrtek 3. února 2011 13:35
  • No racionalni logiku to prave ma. :o)
     
    1. Vyresis to tak, ze pravo na sdileni nastavis na "Change", nikoliv na
    "Full Control".
    2. Pokud se jedna o lokalni zalezitost, pak plati "kdo ma lokalni pristup,
    ma vse".
    3. Uzivatel sice muze odeprit adminovi pristup, ale admin zase muze kdykoliv
    prevzit vlastnictvi.
     
     
    BB
     
     
    čtvrtek 3. února 2011 13:57
  • Nez to vezmu bod po bodu - nejdrive ozkousej a pak uvidis proc nesouhlasim :)

     

    ad 1) sdileni ozkousim, myslim ze to bude v pohode, vim jak "by mely" fungovat opravneni. O overeni pisi proto, ze clovek si nemuze byt jisty ani tim ze on je on :)

    ad 2) no prave. A to je spatne. Proc pak nastavuji nejaka opravneni, kdyz jsou nanic ?? ?? ????????

    ad 3) ano. A muze to udelat i vir (a delaji to tak) a muze to blokovat X veci dalsich (zbytecne rozvadet). Ja si to mohu  vzit zpatky, ale je to prace navic (a viz bod 2)

    No a pokud udelam jen tak ze srandy 1+2+3 a zapojim do sdileni "vycet zalozenyna urovni pristupu" - tak je admin v ###### pokud kouka ze sveho PC na share (lokalne u serveru zas tak nesedime..)

    ;-)

    Uvidime co Mira vybada, tohle reseni mit musi, by jinak firmy MS umlatili lopatama.

    čtvrtek 3. února 2011 23:49
  • "No a pokud udelam jen tak ze srandy 1+2+3 a zapojim do sdileni "vycet
    zalozenyna urovni pristupu" - tak je admin v ###### pokud kouka ze sveho PC
    na share (lokalne u serveru zas tak nesedime..)"
     
    No to snad zadny admin, ne? Od toho je RDP. :o)
     
    Ale ta opravneni nejsou na nic. Na share s opravnenim CHANGE to bude
    fungovat dle Tvych predstav. A na lokale IMHO stejne zadna data byt nemaji.
     
    Filosofie je celkem jasna:
    1. Ten, kdo objekt vytvori je jeho vlastnikem.
    2. Vlastnik muze vse, pokud nema odepren pristup na nadrazenem objektu
    (slozce). Tedy pokud se k inkriminovanemu objektu vubec dostane.
     
    Kdyz uz to tak resis, Ty mas lokalni stanice zavrene v trezoru? Pokud ne,
    pak vez, ze i kdyz by opravneni fungovala dle Tvych predstav a uzvatel chtel
    zmenit opravneni, pak staci nasledujici postup:
     
    1. Opatrim si ERD Commander nebo DART (dle verze Win).
    2. Nabootuji z tohoto nastroje.
    3. Zmenim heslo lokalniho administratora.
    4. Prihlasim se jako lokalni admin.
    5. ....
     
    Napada me jedine smysluplne reseni, pokud opravdu tak trvas na tom, aby
    vlastnik nemohl menit opravneni: napsat skritp, ktery bude menit vlastnika
    pozadovanych objektu.
     
    BB
     
     
    pátek 4. února 2011 7:08
  • RDP ? No vidis, dalsi zneuziti - Terminal desktop :) (kdybys nechapal - viz nize a nebo vyse)

     

    A na lokale samozrejme data byt MUSI, jinak by to nemohlo fungovat. Treba .. .. PROFIL ? ;-)

    Ad filozofie:

    1 - samozrejme.

    2 - Jo a to je ta teorie o ktere tu mluvim dlouho :) Praxe je jina. Ozkousej !

     

    Ad trezor:

    Samozrejme ze nemam. Ale narozdil od tohoto, mohu zakazat preistup do biosu a kluci mi tu v ucebne fakt pocitac rozebirat nebudou :) (boot z dvd/usb je samozrejme zakazan)

     

    Ad script:

    Teoreticky by to mohlo byt reseni, ale myslim ze to nebude stopro funkcni. A mam za to ze tim take uzivateli zrusis kvotu (objekt uz neni jeho = nezabira JEMU misto), coz neni RESENI, ale "suprnouzovka". Navic to predpoklada auditing slozky a udalost z filtru = snizeni vykonu podstatne.

    Honza

     

    pondělí 7. února 2011 6:39
  • Data na lokale opravdu byt nemusi. Samozrejme je otazka, co si predstavime
    pod pojmem DATA. JA pod timto pojmem vidim uzivatelske soubory. Pak i v
    pripade profilu je mozny redirect slozky Dokumenty, Plocha atd.
     
    Ty mas s RDP nejaky problem? Opravud kvuli kazde veci behas do serverovny?
     
    Ad 2) Odzkouseno mam, funguje, jak jsem pospal. Nebo mas jine zkusenosti?
     
    BB
     
     
    pondělí 7. února 2011 7:03
  • Chlapi, mám řešení !! !!

    Tohle je fakt na panáka, nezajdem někam Míro ? ;-)

     

    Řešení je vcelku jednoduché:

    Nastavit na danou složku oprávnění: OWNER RIGHTS - MODIFY

    Pak se to konečně začne chovat jak má :) Akorát teď budu mít hodně práce :-D

    • Označen jako odpověď Jan Janeček pondělí 7. února 2011 8:02
    pondělí 7. února 2011 8:02
  • Bohdane, resime konkretni prolem, nehadame se o pojem "DATA", ani neresime kam jak beham nebo nebeham a jak moc pouzivam RDP, popis problemu byl o necem jinem prosim.


    Reseni uz jsem hodil na plac pro zajemce, kazdopadne podotknu ze ikdyz pouzivas redirect profilu, stejne je vytvoren lokalne. Neveris-li, ozkousej. Budes-li chtit osvetlit, otevri dalsi thread, at to tu netapetujeme.

    pondělí 7. února 2011 8:18