none
Nastavení funkce Access-based enumaration Windows Server 2012 R2 (write/delete rights)

    Dotaz

  • Dobrý den,

    mám velmi specifickou otázku k funkci ABE. Jsme malá společnost, která vlastní Windows Server 2012 R2 Standard. Já a můj kolega přistupujeme na server přes vzdálenou plochu, ale mimo tuto funkci také využíváme funkci VPN, přes kterou přistupujeme z našich osobních počítačů tak, abychom pokaždé, když potřebujeme ke svým datům uloženým na serveru, nemuseli najíždět na vzdálenou plochu. Mimo nás dva máme ještě jednoho zaměstnance, který má přístup pouze k datům přes VPN. Funkci ABE jsme úspěšně nainstalovali a zprovoznili a nyní funguje tak jak jsme si téměř přáli. Já a můj kolega máme Full control a náš zaměstnanec má nastavené jen určité složky, které chceme aby viděl. Problem nastává v tom, že náš zaměstnanec sice vidí složky a soubory, ke kterým má díky ABE práva přes záložku Security, ale nelze nastavit práva pro zapisovaní, případně pro mazání souborů/složek ve složkách, do kterých má přístup při zachování funkce ABE. Prosím o radu, jakým způsobem lze nastavit funkci ABE tak, aby náš zaměstnanec přistupoval pouze ke složkám/souborům, do kterých má přístup a aby mohl samozřejmě číst soubory/složky (což nyní funguje), ale také do nich zapisovat a případně mazat, vše při zachování funkce ABE a při přístupu zaměstnance přes VPN z jeho osobního počítače.

    Předem děkuji za Vaše rady, budeme Vám velice zavázáni.

    Karel

    15. ledna 2015 16:08

Odpovědi

  • Poté jdu zpět do tento počítač a v properties zvolím na záložce sharing skupinu uživatelů zaměstnanci s právem "Read

    Skupina uzivatelu ma pravo na share read. Tzn. NEJVYSSI MOZNE OPRAVNENI NA LIBOVOLNY SOUBOR V TOMTO SHARE JE READ. Tecka.

    Ma-li mit skupina pravo zapisovat (byt do JEDINEHO souboru), musi mit na share i pravo Change.

    MP


    16. ledna 2015 10:28
    Moderátor

Všechny reakce

  • Funkce ABE slouzi pouze k tomu, aby uzivatel nevidel slozky na ktere nema prava. Moznost zapisu a mazani se nastavuje pouze na zalozce Security, s tim nema ABE nic spolecneho.

    Tady je ukazka.

    15. ledna 2015 16:50
  • Dobrá to chápu, chcete tedy říct, že lze nastavit u určité složky, do které má uživatel přístup i práva pro zapisování? Já to zkoušel pouze při přístupu přes VPN z MacBooku, což jsem myslel, že by nemělo mít vliv. Nyní zkusím z nějakého windows počítače a dám vědět.

    Děkuji.

    Karel

    15. ledna 2015 17:09
  • Ano, na zvolene slozce na zalozce Security zatrhni pro dany ucet pravo Zapisovat/Write.
    15. ledna 2015 17:17
  • Zkoušel sem teď zkopírovat něco na připojený síťový disk ve windowsovém počítači přes VPN.

    Vyskočila hláška:

    Z:\ odkazuje na umístění, které již není k dispozici. Umístěni může být na pevném disku tohoto počítače nebo v síti. Ujistěte se, že je disk řádně vložen a že jste připojeni k Internetu nebo k síti a opakujte akci. Pokud stále nelze umístění najít, je možné, že bylo přesunuto jinam.

    Co teď?

    Děkuji Karel

    15. ledna 2015 17:57
  • Pro jistotu vypisuji nastavení přístupu na diskt pro uživatele:

    V active directory je nastavena skupina uživatelů "zaměstnanci" -> Group scope - Domain local; Group type - Security; uživatel je přidán do této skupiny.

    Nastavení sdíleného disku:

    • Záložka Sharing: skupina "zaměstnanci" má nastaveno "read"
    • Záložka Security: skupina "zaměstnanci" má nastaveno: Principal - "Zaměstnanci"; Type - Allow; Applies to - This folder only; Advanced permissions - Traverse/read data, list folder/read data, read attributes

    Nastavení 1 složky ve sdíleném disku, kterou má uživatel vidět a také by do ní měl i zapisovat, ale to se dosud nedaří:

    • Záložka Sharing: nic (aby fungovalo ABE)
    • Záložka Security:

    - původně bylo nastaveno Read&execute, list folder contents, read

    - teď jsem přidal write a nic se nestalo

    - pak jsem přidal i modify a také se nic nestalo

    - nakonec jsem natvrdo přidal full control a také se nic nestalo

    Nadále tedy nelze zapisovat do složky ve sdíleném disku.

    15. ledna 2015 18:08
  • Normalne se nastavuje:

    - hruba prava na share (max. opravneni ktere ma uzivatel/skupina mit treba pro jedinty soubor)

    - jemne se prava pak doladi na urovni NTFS

    MP

    16. ledna 2015 7:45
    Moderátor
  • Dobrý den,

    Váš návod chápu. Problém bude v tom jak mám nastaveá práva sdílení a zabezpečení sdíleného disku.

    Popíši tedy jak celou věc dělám:

    V active directory vytvořím skupinu "Zaměstnanci" domain local, security. Poté vytvořím uživatele (Zaměstnanec1) a přidám ho do této skupiny. Pak najedu na tento počítač a pravým tlačítkem sdílám disk Z:\. V záložce sharing zvolím share a sdílím zatím jen na úrovni administrátorů. Pak jdu do server manageru, kde na již sdíleném disku zaškrtnu ABE. Poté jdu zpět do tento počítač a v properties zvolím na záložce sharing skupinu uživatelů zaměstnanci s právem "Read". Dále v záložce security zvolím také zaměstnance a přiřadím práva v rozšířeném nastavení pro skupinu - type - allow, applies to - this folder only a práva list folder/read data, read attributes, read extended attributes to je vše. Pak v tomto disku máme různé složky. Díky ABE náš zaměstnanec vidí jen to co chceme. Složky "faktury", "účetnictví" atd nevídí protože není přidaný v záložce security. Ale například ve složce "Objednávky" má nastavená následující práva v záložce security - type - allow, applies to - this folder, subfolders and files a práva read and execute, list folder contents, read. Ve složce objednávky jsou další složky a to složka 2013, 2014, 2015. A teď důležitá věc. Chceme aby zaměstnanec měl přístup do všech složek pouze pro čtení, ale do složky 2015 aby mohl i zapisovat a měnit soubory. Respektive logika je taková, že v letech 2013, 2014 nechceme, aby nemohl nic měnit, ale mohl nahlížet do starých objednávek. A ve složce 2015, aby mohl samozřejmě číst, ale také zapisovat nové jím vytvořené objednávky. Složky 2013,2014,2015 mají nastavená práva jako v nadřazené složce objednávky, jelikož se práva dědí. Pokud u složky 2015 přidám navíc práva modify a write a zaměstnanec se připojí přes VPN ze svého počítače na sdílený disk a nejede do složky 2015, nelze zapisovat ani měnit, ale pouze číst a to ikdyž zruším dědění. 

    Omlouvám se za romány a překlepy, ale už jsem z toho vyřízený. Pokud by měl teď někdo tucha co dělám špatně. Prosím ještě jednou  o pomoc.

    Děkuji Karel

    16. ledna 2015 10:18
  • Poté jdu zpět do tento počítač a v properties zvolím na záložce sharing skupinu uživatelů zaměstnanci s právem "Read

    Skupina uzivatelu ma pravo na share read. Tzn. NEJVYSSI MOZNE OPRAVNENI NA LIBOVOLNY SOUBOR V TOMTO SHARE JE READ. Tecka.

    Ma-li mit skupina pravo zapisovat (byt do JEDINEHO souboru), musi mit na share i pravo Change.

    MP


    16. ledna 2015 10:28
    Moderátor
  • DĚKUJI VÁM MOCKRÁT. UŽ TO FUNGUJE. Veděl sem, že v tom mém postupu bude nějaká zrada :D

    16. ledna 2015 11:06
  • JJ, to je moje oblibena otazka u z kousky z ACLs - kombinace CIFS a NTFS ACLs :)

    MP

    16. ledna 2015 11:12
    Moderátor
  • Kdyby jste náhodou na ČVUT pořádal nějaké workshopy na téma Windows Server 2012, rád bych se i zúčastnil, jelikož jsme s kolegou absolutní lajkové, kteří si systém sice nastavili samostatně bez pomoci a teď už opravdu tak jak chtějí, ale rádi bychom se o tomto systému dozvěděli i další věci. Někde na ametickém fóru jsem četl konverzaci vývojáře a účastníka fóra kde se tázající ptal, zda neexistuje nějaká kniha na kompletní pochopení ve Windows Server 2012. Vývojář odpověděl velice jednoduše "It is not possible to know everything about Windows Serve 2012". Takže kdyby jste něco takového pořádal, rád se zúčastním. Ještě jednou děkuji za pomoc :-)
    16. ledna 2015 11:32
  • Toto je vlastnost NTFS a práv sdílení platných už od dob Windows NT (tedy žádná novinka).

    http://www.abclinuxu.cz/blog/Max_Devaine/2011/6/howto-jak-funguje-sdileni-ve-windows


    JCH

    17. ledna 2015 8:14
  • JJ.

    Navic to neni ani "velmi specificka otazka", ani nesouvisi s ABE.

    Proste nespravne polozena otazka, ktera se upina na neco, co s problemem nesouvisi, cimz ztezuje odpoved.

    Ale nakonec jsme to dali, zejo :)

    MP

    17. ledna 2015 8:46
    Moderátor