none
Oprávnění SAMBA na Windows 10

    Dotaz

  • Zdravím skoro v Novém roce :-)

    mám klientské stanice s Windows 7, Windows 10 a jeden Linux server.
    Na linuxovém serveru mám rozjetou Sambu, která umožní sdílet data na klientských stanicích Win 7 a Win 10.

    Úkol mám takový, aby klienti do složky mohli zapsat, ale zapsaná data již nemohli mazat.
    To se mi na samba serveru (linux) podařilo nastavit...ale pro mě nepochopitelně pouze pro windows 7.

    Tzn. klient z windows 7 zapíše soubor a nikdo z windows 7 v síti jej nemůže smazat.
    Jak je ale možné, že z windows 10 to lze?

    Oprávnění jsou stejná jak na win 7, tak na win 10 (díval jsem se pravý klik na soubor > vlastnosti > zabezpečení).
    V obou systémech píše:

    everyone - nic zaškrtnuto, tzn. bez oprávnění
    test - můj testovací uživatel, na souboru má oprávnění pouze READ, nic víc

    Jen pro úplnost, uživatel "test" v těch Windows neexistuje...když najedu na sdílený disk např. přes:

    \\remote_server\test_folder

    ...tak si to vyžádá credentials a já mu dám právě uživatele "test".

    Když úplně vynechám linux server, tak jsem si zkusil vytvořit soubor na těch windows 10 uživatelem "admin" (který má plná práva). Oprávnění jsem ale upravil tak, aby vlastníkem sice byl admin, ale v záložce "zabezpečení" nebylo nic jiného, než uživatel, kterým jsem se přihlásil do systému (uživatel "games") a přiřadil jsem mu oprávnění "read". V záložce "zabezpečení" tedy nic jiného nebylo - jen uživatel "games" a oprávnění "read". I přesto uživatel "games" tento soubor smazal.

    Identický test jsem provedl na Win 7 a pochopitelně se smazat nenechal - vyžádal si heslo admina a i přesto soubor nesmazal - za mě korektní chování.

    Věděl by někdo proč to na Win 10 nefunguje?

    děkuji,
    L

    pátek 30. prosince 2016 12:13

Odpovědi

  • Teď jsem to testoval - Win 7 a Win 10 (build 14393.576) a na obou systémech se to chová stejně. Ono  se to ani jinak chovat nemůže, ta oprávnění se nastavují na úrovni souborového systému, ne na úrovni operačního systému.

    Kdyby jsi se raději podíval na oprávnění na složku, jak jsem Ti psal už 31.12., tak by jsi udělal nejlépe.

    Pokud totiž má uživatel na úrovni složky povoleno oprávnění "Odstraňovat podsložky a soubory", tak si na úrovni souboru můžeš nastavovat co chceš, a stejně ho uživatel může smazat.

    Zkus příště místo konfliktního přístupu zvolit konstruktivní, k cíli dojdeš dříve. :o)


    BB

    pondělí 2. ledna 2017 14:38

Všechny reakce

  • Dej 2 sady prav, ktera se doplni:

    1. zakladni:  users:change ... mohou vytvorit soubor a zapsat do nej
    2. rozsirena: users: deny delete ... ale nemohou smazat

    MP

    pátek 30. prosince 2016 15:14
    Moderátor
  • Když jsem zadal oprávnění "měnit", tak se zaškrtaly další možnosti, viz obrázek níže...Zkoušel jsem každopádně dát mu jen to čtení + zákaz mazání, ale výsledek kupodivu stejný...uživatel games ten soubor prostě smazal.

    Hlavně, ikdyby toto fungovalo, tak úplně nevím, jakým způsobem bych toto nakonfiguroval v sambě - tedy aby měl zákaz mazání. Nicméně pokud to vyřeším alespoň na samotných win 10, tak už se s tím snad nějak pohraju.

    Nastavení, viz. obrázek níže mi stále nezabralo.

    sobota 31. prosince 2016 8:19
  • No fajn, ukázal jsi nám práva na soubor. Ale na složku, ve které se soubor nachází má uživatel "Games" jaká práva?

    BB

    sobota 31. prosince 2016 13:10
  • Ty nejsou nijak podstatné řekl bych, ale pro informaci tam uživatel games právo zápisu má.
    Právo zápisu tam mít musí, pač já chci, aby tam zapsal - nechci aby smazal. A znovu podotýkám, že na win 7 vše funguje.

    Hledám právě rozdíl, ale moc se mi to zatím nedaří...

    sobota 31. prosince 2016 15:03
  • "Ty nejsou nijak podstatné řekl bych" - tak to bys řekl špatně.


    BB

    sobota 31. prosince 2016 16:28
  • Takže dle tvé teorie, pokud máš oprávnění zápisu na složku, ale na soubor v této složce už nikoliv, tak si se souborem i přesto můžeš dělat co chceš dle oprávnění složky? To popírá smysl oprávnění. Nebo asi nerozumím tomu, co tím chceš přesně říct a proč to na jiných systémech funguje.

    A kdybys možná reagoval na jinou část věty, kde by člověk získal použitelnou informaci - od toho konec konců diskuzní fóra jsou, řekl bych - byl bych ti vděčný.

    sobota 31. prosince 2016 17:55
  • Obrazek je maly, takze ocekavej stejnou kvalitu odpovedi, jako je kvalita obrazku:

    PROC JSOU NIKE U PRAV CERNA A NE SEDA ?!

    MP

    neděle 1. ledna 2017 19:53
    Moderátor
  • A jak můžu dosáhnout lepší kvality fotky? Dal jsem jí tam v plné kvalitě, předpokládám, že zhoršení došlo při uploadu.

    Tak to opravdu netuším, proč je černá. Nejsem zrovna MS profík, ale zeptám se spíš jinak:

    Vám to funguje?

    Když uděláte stejný postup na win7 a win10 jako jsem to udělal já, mám to chápat tak, že Vám to funguje na obou systémech stejně?

    Zatím žiju v domnění, že je v těch systémech něco jinak...pokud mi potvrdíte, že Vám to funguje, pak budu hledat...jen nechci ztrácet čas a hledat chybu kde není.


    • Upravený neděle 1. ledna 2017 22:49
    neděle 1. ledna 2017 20:12
  • Teď jsem to testoval - Win 7 a Win 10 (build 14393.576) a na obou systémech se to chová stejně. Ono  se to ani jinak chovat nemůže, ta oprávnění se nastavují na úrovni souborového systému, ne na úrovni operačního systému.

    Kdyby jsi se raději podíval na oprávnění na složku, jak jsem Ti psal už 31.12., tak by jsi udělal nejlépe.

    Pokud totiž má uživatel na úrovni složky povoleno oprávnění "Odstraňovat podsložky a soubory", tak si na úrovni souboru můžeš nastavovat co chceš, a stejně ho uživatel může smazat.

    Zkus příště místo konfliktního přístupu zvolit konstruktivní, k cíli dojdeš dříve. :o)


    BB

    pondělí 2. ledna 2017 14:38
  • >Tak to opravdu netuším, proč je černá.

    To byla RECNICKA OTAZKA.

    Ja to samozrejme vim. BB to vi. Az prohlednes i ty, objevi se ti reseni jako slunce na nebi po letni bource. Nemelo by to byt tezke, pokud nam netajis neco nevyrcene, mas veskere indicie napsane zde - a to nekolikrat.

    MP

    pondělí 2. ledna 2017 14:54
    Moderátor
  • Předně bych se rád omluvil za konfliktní přístup.

    Každopádně...ano, máte pravdu, že pokud ve Win10 změním oprávnění na složce a zruším "úplné řízení", dám mu "zápis, čtení, spouštění", tak soubor v něm opravdu smazat nejde.

    Ale...na Win 7 si nemůžu pomoct, ale tam to funguje prostě jinak.
    Mám složku, na které je oprávnění everyone (úplné řízení), schválně jsem tam ještě přidal toho uživatele "games", rovněž "úplné řízení" a v této složce je soubor s oprávněním pouze "číst" a prostě smazat nejde.

    U win 10 musím oprávnění na složce upravit, abych dosáhnul stejného výsledku.
    Když to převedu do problému který řeším, tak možná budu muset rozjet ACL na Samba serveru.

    Buď tedy:

    a) vyřeším, proč to na win7 funguje a na win10 ne
    b) rozjedu ACL na samba serveru - pokud to teda bude řešit problém

    úterý 3. ledna 2017 8:18
  • Rád dodám jakékoliv podklady, které by uměly toto vysvětlit.
    Klidně i přístup přes teamviewer.

    Mimochodem.."fajfky" u oprávnění jsou na obou systémech černé.
    Opravdu mi přijde, že stejné nastavení na těch dvou systémech funguje rozdílně.

    Je to jen můj laický pohled, není vyloučeno, že to nastavení úplně stejné není, ale proto doložím jakoukoliv informaci, která ze mě udělá blbce :-)



    • Upravený úterý 3. ledna 2017 8:45
    úterý 3. ledna 2017 8:29
  • Ukaž nám screenshot nastavení oprávnění složky z Win 7.

    BB

    úterý 3. ledna 2017 8:32
  • Vlevo je oprávnění složky D:\backup, vpravo je soubor v té složce D:\backup - a tento soubor nesmažu. U té složky, kromě everyone jsem tam ještě přidal oprávnění pro uživatele games - úplné řízení, jen je ten box malý, tak to tam nejde vidět.

    Mimochodem, jsem přihlášený do systému uživatelem "games".
    • Upravený úterý 3. ledna 2017 9:06
    úterý 3. ledna 2017 9:05
  • >Mimochodem, jsem přihlášený do systému uživatelem "games".

    Hmmm. TO je ten probem. Prihlase se jako uzivatel s admin pravy a posli lepsi printscreene, kde bude videt, kde je Nike mark sede a kde cerne

    MP

    úterý 3. ledna 2017 9:09
    Moderátor
  • Tak posílám screen přes externí URL, to už snad půjde vidět lépe. Zajímavé je to, že pokud se na to dívám jako admin, tak tam nevidím to oprávnění "číst" pro uživatele "games", viz screen.

    Edit: aha, tak externí URL jsem tam sice dal, ale on si to z tama jen stáhl, mrkněte na to teda tady: http://share.carni.cz:8080/screen2.PNG



    • Upravený úterý 3. ledna 2017 10:17
    úterý 3. ledna 2017 10:14
  • Jakým způsobem se soubor do složky dostane?

    Vytvoříš ho tam nějakou aplikací, přesuneš nebo zkopíruješ z jiného umístění?

    Musíš si uvědomit, že pokud soubor přesuneš, bude mít jiná oprávnění než když ho zkopíruješ.

    Přesun souboru - soubor si zachová původní oprávnění

    Zkopírování souboru - kopírovaný soubor převezme oprávnění cílové složky.

    To že pod Adminem nevidíš oprávnění je pochopitelné. Ve Tvém případě nemá uživatel Admin na soubor oprávnění potřebná ke čtení oprávnění, neumí je tedy zobrazit. Pokud potřebuješ se souborem pracovat, musíš převzít vlastnictví.


    BB

    úterý 3. ledna 2017 10:21
  • Ach tak...ten přístup k oprávnění je tady krapet odlišný od linuxu.
    V linuxu jak jsi root, tak prostě můžeš a vidíš vše, tak jsem měl za to, že když jsem ve Windows Admin, tak je to podobné.

    Pak tedy ok...každopádně. Vzal jsem jednoduše jakýkoliv soubor, např. ze složky "Obrázky", zkopnul ho do D:\backup a ve vlastnostech jsem zakázal dědičnost...vše jsem odebral. Přidal jsem jen vlastníka, abych vůbec mohl něco se souborem dělat a poté přidal jedno jediné oprávnění. Pro uživatele "games" jsem mu dal "číst".

    úterý 3. ledna 2017 10:48
  • Ano, windows jsou bezpecny OS, na rozdil od Linuxu ;-)

    Nicmene bez FUNKCNICH ACLs se nehnes. To je take vec, ktera ve Windows funguje od 1. verze, ale v Linuxu ... des bes

    Doporucuji: nejprve se to vsechno nauc / vyzkousej si t ve Windows. Tam to mas za 2 minuty. Az budes vedet, co chces udelat a jak, naroubuj to na svuj filesystem (y - nezapomen, ze jsou 2 - diskovy a nad nim sitovy).

    MP


    úterý 3. ledna 2017 10:54
    Moderátor
  • Mně třeba dává smysl, aby admin viděl vše, od toho je admin :-). Jinak tady už bych se do konfrontace pustil s trochu přesvědčivějšími argumenty ohledně bezpečnosti, ale "no conflict", poznámku beru :-))

    Určitě si otestuji, jak se to ve Win chová...chtěl bych jen potvrzení od profíků, že se to u mě nechová nestandartně. Když se tedy vrátíme na začátek, teď již víte jaké přesně mám oprávnění na složce a na souboru a jak toho dosáhnu.

    Je to u Vás stejné?

    Tzn.:

    1) na složce budete mít everyone - úplné řízení (potažmo toho konkrétního uživatele, se kterým test provádíte)
    2) soubor v této složce bude mít zakázanou dědičnost, vlastníkem bude třeba admin a oprávnění bude mít pouze ten testovací uživatel a pouze pro čtení
    3) ve win 7 smazat nelze
    4) ve win 10 smazat lze

    Tohle je stále věc, kde nijak nefiguruje síť...na tohle pokud dostanu odpověď, tak se snad pohnu dále. Chápu argumenty, že to není věc OS, ale FS...ale co mám tedy jinak :-)

    úterý 3. ledna 2017 11:25
  • Proc by Admin mel mit pristup treba do slozky s personalnimi informacemi zamestnancu? To nesmi a ani nechce!

    MP

    úterý 3. ledna 2017 11:37
    Moderátor
  • Možná by bylo třeba ujasnit si pojmy, kdo je to "admin". Každý z nás na to může mít odlišný pohled.
    Řekněme, že pracuji v nějakém finančním domě a řekněme, že na servery lidi ukládají data ohledně smluv, hypoték, úvěrů, to není nic neobvyklého...to jsou například mnohem citlivější data, než personální informace zaměstnanců, ale i tyto personální informace zaměstnanců jsou samozřejmě důležité.

    I k těmto datům musí mít admin přístup, ať už z důvodu backupů/obnov. Dále jsou aplikační servery, které se připojují na servery databázové...a opět tyto servery musí někdo spravovat a opět tam musí mít z pochopitelných důvodů admin plný přístup, jinak by to ani nenaistaloval :-)

    Z tohoto hlediska nezáleží na tom, jestli jsou data uložena na PC nebo na serveru. Admin zodpovídá za to, aby data byla v pořádku, ať už v soukromé sféře, tak ve firemní. Do každého PC se musí admin dostat, nad každým PC/serverem jednoznačně musí mít admin kontrolu - ne z důvodu zneužití dat, ale přesně z důvodu opačného. Jestli admin poruší jakési nepsané pravidlo ohledně mlčenlivosti (ikdyž to bývá v pracovních smlouvách), pak holt přichází na řadu soudy a je to pako.

    Popravdě neznám firmu, kde by měl admin omezená oprávnění. Nedokaži si představit, jak by pak mohl být za něco odpovědný.

    úterý 3. ledna 2017 13:17
  • "Popravdě neznám firmu, kde by měl admin omezená oprávnění. Nedokaži si představit, jak by pak mohl být za něco odpovědný."

    Tak to toho znáš ještě poměrně málo. :o)

    V praxi to může fungovat například tak, že heslo uživatele Administrator nikdo nezná. Je více lidí a každý zná jen část hesla. Když je někdy třeba něco výjimečně pod tímto účtem udělat, tak se společně přihlásí a zatímco fyzický administrátor pracuje, ostatní dohlíží, zda dělá jen to co má.

    Vše ostatní se dělá pod jinými účty - třeba to zálohování. Proč by proboha kvůli zálohování měl být potřeba přístup uživatele Administrator. Říká ti něco in-bulit skupina Backup Operators?

    To, že ve spoustě firem to funguje, tak jak popisuješ Ty ještě neznamená, že je to správně. A je i nemálo firem, kde pokud by jsi tuto filozofii chtěl uplatnit, tak by jsi si brzy hledal jiného zaměstnavatele . . .


    BB


    úterý 3. ledna 2017 13:34
  • Proste system, kde administrator (root) smi vse, je SPATNE KONCIPOVANY SYSTEM.

    Normalni je, ze administrator nema prava vsude - ale ma prava si ta prava pridelit, je-li to treba. Takovato operace ovsem podleha security auditu.

    Koukam, ze by bylo dobre zacit zaklady bezpecnostniho modelu Windows.

    MP

    úterý 3. ledna 2017 13:42
    Moderátor
  • "Proč by proboha kvůli zálohování měl být potřeba přístup uživatele Administrator. Říká ti něco in-bulit skupina Backup Operators?"

    ...tak jsem to nemyslel. Samozřejmě, že veškeré backup nástroje běží pod účtem jiným. Myslel jsem to z pohledu toho admina - člověka. Tzn. pokud já jako admin chci vlézt do složky s backupem, např. kvůli obnově, tak jako admin prostě můžu, proč bych nemohl...proč bych se měl hlásit jako user "backup", abych se na to mohl podívat...proč, když user backup má nižší oprávnění než admin.

    Jak by měl vypadat backup systém je trošku na jinou debatu a půlená hesla se používají při přístupu do trezoru, zabezpečeného objektu, potažmo do různých systémů, např. auditních, ale to je opět úplně jiné téma. Bavíme se tady o člověku, adminovi, který by měl/neměl mít někam přístup.

    Já tvrdím, že pokud se do systému loguji jako admin, měl bych mít plná oprávnění, toť vše.

    "Proste system, kde administrator (root) smi vse, je SPATNE KONCIPOVANY SYSTEM. "

    Nejsem téhož názoru. Admin je admin...může vše. Je otázkou, kdo toto oprávnění komu přidělí...jestli za přísných bezpečnostních opatření (půlená hesla) nebo jiných je už jedno...prostě jak jsem jednou admin, mám mít oprávnění všude - tečka :-)...neřeším tady to, jak by se ten člověk tím adminem měl stát.

    Jestliže mi někdo svěří v linuxu "roota", tak ten někdo mi dává plnou moc nad serverem. Já si to pak můžu rozdělit jak potřebuji...někdo dostane přístup tam, jiný tam = nikdo už roota nedostane (pokud sám nechci). Ale jak se takhle jednou naloguji, tak je server plně pod mou správou, tohle je dle mého v pořádku.

    úterý 3. ledna 2017 15:25
  • >...tak jsem to nemyslel. Samozřejmě, že veškeré backup nástroje běží pod účtem jiným

    Takto to ale vubec neni. Bavime se o SE_BACKUP_PRIVILEGE, tedy pravu zalohovat soubory, ke kterym nema zalohujici ucet pravo.

    MP

    úterý 3. ledna 2017 15:38
    Moderátor
  • No, myslím si, že to s tím souvisí. Každý (nebo nechci mluvit za všechny), ale většina backup nástrojů má několik služeb. Konkrétně třeba Veritas (tehda kdy jsem to nastavoval to byl Symantec) Backup Exec. Je tam asi 8 služeb, z toho dvě musely běžet pod nějakým SYSTEM účtem a zbytek záleželo na každém...BEST PRACTICE je samozřejmě takové, aby běželo pod nějakým účtem, který je ve skupině Backup Operators. Musel ještě splňovat další náležitosti v Policy, které úzce souvisí právě s oprávněním soubory zálohovat.

    Každopádně...tento účet musel mít také každý klient, pač ta služba se tímto účtem pojila na ty klienty a musela tam mít patřičná oprávnění. Tedy já se bavím jak o účtu, pod kterým backup nástroj (resp. nějaké její služby) běží, tak o účtu, který má oprávnění zálohovat soubory - a v tomhle případě je to jeden a tentýž.

    Ale to je asi jedno. Ono obecně... flamů Win x Lin, případně jaký admin k čemu a jakým způsobem přistupuje, bylo nadiskutováno až až a stejně to nikdy nikam nevedlo :-)

    Respektuji názory, že uživatel s oprávněním nejvyšší instance, tedy admina, nemá mít oprávnění všude a kde to tak je, tak je to "spatne koncipovaný systém". Je to další z názorů, na kterém něco může být, ale neztotožňuji se s ním...

    Nicméně...spíš by mě zajímalo, zda se Vám podařilo nasimulovat stejný stav jako mně a jestli po vykonání mnou popsaných kroků se Vám na Windows 7 podařilo takový soubor smazat..?



    • Upravený úterý 3. ledna 2017 18:01
    úterý 3. ledna 2017 17:59
  • Nasimuloval jsem si na win 7 svuj zpusob z 1. reakce.

    Soubor jsem mohl smazat jen elevovane (Administrators jsem nechal Full control)

    MP

    úterý 3. ledna 2017 18:12
    Moderátor
  • Chápu to tedy tak, že mnou popsané kroky nasimulujete úplně stejně jako já, jen to nejspíš nepovažujete řekněme za Best Practice..? Opravdu bych potřeboval odpověď spíše na tohle zadání:

    1) na složce budete mít everyone - úplné řízení (potažmo toho konkrétního uživatele, se kterým test provádíte)
    2) soubor v této složce bude mít zakázanou dědičnost, vlastníkem bude třeba admin a oprávnění bude mít pouze ten testovací uživatel a pouze pro čtení
    3) ve win 7 smazat nelze
    4) ve win 10 smazat lze

    ...což není úplně totéž co ve Vaší 1. reakci. Úplně mi stačí odpověď typu:

    "Ano, u mě se to chová na obou systémech jak popisuješ..tzn. na win 7 smazat nelze, na win 10 smazat lze"

    ...nebo: "i dle tvého postupu se mi to chová tak, že soubor na obou systémech ne/smažu".

    Tohoto chci dopídit. BB psal, že to testoval, ale hádám, že to nastavil dle sebe, tam jsem ještě nepsal přesný postup. Celou dobu řeším jen to, jestli u mě není něco jinak/špatně.

    úterý 3. ledna 2017 21:31
  • Udělal jsem simulaci přesně dle Tvého popisu, tedy:

    1. Mám uživatele TEST, tomuto uživateli jsem na složku přidělil plná oprávnění

    2. Do složky jsem nakopíroval soubor, odstranil dědění oprávnění.

    3. Na souboru jsem odebral všechna oprávnění všech uživatelů, pouze uživateli TEST jsem nechal oprávnění Číst.

    4. Do Win 7 jsem se přihlásil jako uživatel TEST a soubor zkusil smazat.

    5. Soubor samozřejmě smazat šel.


    BB

    středa 4. ledna 2017 7:25
  • Hm...takže mám něco jinak. Postup je ok. Jestli ti i sedí oprávnění dle toho screenu co jsem posílal 3. ledna 2017 9:06 a i přesto to tobě jde, pak holt něco dělám špatně.

    Jediné co mě napadá, tak já tam mám plná práva na složce jak pro uživatele "admin", tak pro "games", v tvém případě "TEST".

    Každopádně děkuji za test



    • Upravený středa 4. ledna 2017 9:47
    středa 4. ledna 2017 9:46