none
Permessi su sottocartelle in Windows 2008 Std RRS feed

  • Domanda

  • Salve a tutti

    Avrei necessità di un aiuto sulla gestione dei permessi di Windows 2008, ammetto che è la prima volta che mi trovo a lavorare con questo Sistema e ancora non mi sono documentato benissimo se non qualche veloce ricerca nel web; il mio problema è il seguente:

    Devo configurare un nuovo file server e stò facendo qualche test con i permessi sulle cartelle, per quanto riguarda i permessi sulle condivisioni di primo livello non ci sono problemi, gli utenti fanno quello che decido tramite i gruppi. I problemi arrivano se decido di impostare delle sottocartelle con dei permessi diversi rispetto alla cartella padre; faccio un esempio:

    creo la cartella TEST con accessso Everyone in lettura, sotto creo TEST\SUB, su SUB interrompo l'ereditaritetà, rimuovo Everyone e users in lettura, aggiungo un gruppo "pippo" di Dominio in modifica

    Il risultato è che gli utenti appartenenti a "pippo" non solo non scrivono sotto TEST, ma nemmeno sotto SUB... 

    Questa cosa non accade con Windows 2003, non capisco onestamente come correggere, cosa sbaglio?

    Grazie mille!

    mercoledì 18 agosto 2010 09:58

Risposte

  • Il criterio è : somma permessi share e applicare il permesso più "ampio", somma permessi NTFS e applicare il più "ampio", infine, se si accede da rete, sommo il permesso risultante sulla share, il risultante su NTFS e applico il più "restrittivo".

    Se accedi in locale, ovviamente, si applicano SOLO i permessi del file system NTFS.

    Nel tuo caso, il permesso massimo sulla share è "read" (owner ti serve solo per poter modificare le permission).

    A questo punto, aprendo da rete TEST e poi accedendo a SUB passando per questa condivizione, il permesso massimo che avrai è sempre "READ", anche se su NTFS i tuoi permessi sono più ampi (perchè, per la regola di cui sopra, il permesso più "restrittivo" è quello della share).

    Ti consiglio di mettere everyone sulla share almeno in modify e di gestire gli accessi, come stai già facendo, con NTFS.


    -- Fabrizio Volpe MCSE (NT4) (2000) (2003) , MCSA (2003) , MCTS (SQL 2005) (Exchange 2007) (Windows 2008) Fortinet Certified Network Security Professional (FCNSP) Fortinet Certified Network Security Administrator (FCNSA)
    mercoledì 18 agosto 2010 11:40
  • Sembra che abbia risolto, onestamente ancora non ho capito come possa essere successo e nemmeno mi torna, però pare che tutto fosse dovuto al gruppo nomeserver\Users, il quale, a livello NTFS, aveva assegnato permessi in lettura piu qualche permesso speciale, andando a controllare di quali permessi speciali si trattasse questi erano proprio la creazione di cartelle e file...

    La cosa non mi torna per il semplice fatto che a livello NTFS erano specificati sia Everyone in lettura, senza permessi speciali, sia il gruppo nomeserver\Users in lettura e permessi speciali; se accedendo da rete il criterio è di applicare il piu restrittivo avrebbe dovuto vincere Everyone, giusto?

    Comunque dato che Everyone include anche "Users" ho rimosso del tutto il gruppo nomeserver\Users dai permessi NTFS e adesso l'utente di prova fa quello che gli dico, cioè legge solo sotto TEST, legge e scrive sotto TEST\SUB

    Grazie mille a tutti per l'aiuto!

    • Contrassegnato come risposta Fabrizio Volpe giovedì 19 agosto 2010 10:36
    giovedì 19 agosto 2010 07:49

Tutte le risposte

  • A livello della condivisione, quali sono i permessi ?

    Considera che Windows 2008, rispetto a 2003, sulla share mette per default everyone in READ e non in FULL CONTROLL, per cui se accedi alla cartella da rete, il massimo permesso che hai è lettura.

    Se i permessi sulla share sono corretti, procedi così : su TEST e su SUB dovresti lasciare System e Domain Admins in full controll (anche se interrompi l'ereditarietà).

    Detto questo, se Everyone ha read su TEST e il gruppo "pippo" ha modify su SUB, dovresti poter leggere e scrivere.

     


    -- Fabrizio Volpe MCSE (NT4) (2000) (2003) , MCSA (2003) , MCTS (SQL 2005) (Exchange 2007) (Windows 2008) Fortinet Certified Network Security Professional (FCNSP) Fortinet Certified Network Security Administrator (FCNSA)
    mercoledì 18 agosto 2010 10:30
  • Ciao Fabrizio

    Grazie per la risposta, sulla cartella TEST per quanto riguarda le share-permission sono: Everyone in read, Administratos owner, me in co-owner

    Per quanto riguarda i permessi "NTFS" sono: Everyone e Users in read, System, me, Administrators in Full Control

    Invece andando sotto alla cartella SUB i permessi su share non ci sono perchè non è condivisa, e i permessi "NTFS" sono: System, me, Administrators in Full Control, gruppo "pippo" in Modify

    Fra l'altro ho notato una cosa che da memorie di Windows 2003 non mi torna per niente: se nelle share-permission di TEST metto Everyone co-owner allora posso scrivere ovunque, nonostante nei permessi "NTFS" sia specificato diverssamente; sbaglio o i permessi NTFS dovrebbero avere la priorità e far valere i criteri più restrittivi rispetto ai permessi sulla share?

    mercoledì 18 agosto 2010 10:51
  • Il criterio è : somma permessi share e applicare il permesso più "ampio", somma permessi NTFS e applicare il più "ampio", infine, se si accede da rete, sommo il permesso risultante sulla share, il risultante su NTFS e applico il più "restrittivo".

    Se accedi in locale, ovviamente, si applicano SOLO i permessi del file system NTFS.

    Nel tuo caso, il permesso massimo sulla share è "read" (owner ti serve solo per poter modificare le permission).

    A questo punto, aprendo da rete TEST e poi accedendo a SUB passando per questa condivizione, il permesso massimo che avrai è sempre "READ", anche se su NTFS i tuoi permessi sono più ampi (perchè, per la regola di cui sopra, il permesso più "restrittivo" è quello della share).

    Ti consiglio di mettere everyone sulla share almeno in modify e di gestire gli accessi, come stai già facendo, con NTFS.


    -- Fabrizio Volpe MCSE (NT4) (2000) (2003) , MCSA (2003) , MCTS (SQL 2005) (Exchange 2007) (Windows 2008) Fortinet Certified Network Security Professional (FCNSP) Fortinet Certified Network Security Administrator (FCNSA)
    mercoledì 18 agosto 2010 11:40
  • Il criterio è : somma permessi share e applicare il permesso più "ampio", somma permessi NTFS e applicare il più "ampio", infine, se si accede da rete, sommo il permesso risultante sulla share, il risultante su NTFS e applico il più "restrittivo".

    Se accedi in locale, ovviamente, si applicano SOLO i permessi del file system NTFS.

    Nel tuo caso, il permesso massimo sulla share è "read" (owner ti serve solo per poter modificare le permission).

    A questo punto, aprendo da rete TEST e poi accedendo a SUB passando per questa condivizione, il permesso massimo che avrai è sempre "READ", anche se su NTFS i tuoi permessi sono più ampi (perchè, per la regola di cui sopra, il permesso più "restrittivo" è quello della share).

    Ti consiglio di mettere everyone sulla share almeno in modify e di gestire gli accessi, come stai già facendo, con NTFS.

     

    non credi che utilizzando il "bypass traverse checking" in maniera opportuna potrebbe lasciare read per everyone sulla cartella read ed ottenere che il gruppo pippo possa modificare ugualmente i files dentro alla cartella sub ?


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    mercoledì 18 agosto 2010 12:04
    Moderatore
  • non credi che utilizzando il "bypass traverse checking" in maniera opportuna potrebbe lasciare read per everyone sulla cartella read ed ottenere che il gruppo pippo possa modificare ugualmente i files dentro alla cartella sub ?


    Purtroppo no : lasciando a livello di condivisione solo everyone in read, quello resta il massimo livello di accesso che si può ottenere da rete.

    Nel caso di sottocartelle di una condivisione, la parte di permessi "share" è dettata solo dalla cartella "radice".

    Poi, sistemati opportunamente i permessi sulla condivisione, si può procedere come da te descritto.

    L'utente dovrà aprire direttamente \\"nomeserver"\TEST\SUB e non potrà vedere nessuno dei contenuti di TEST (se è quello lo scopo del lavoro).


    -- Fabrizio Volpe MCSE (NT4) (2000) (2003) , MCSA (2003) , MCTS (SQL 2005) (Exchange 2007) (Windows 2008) Fortinet Certified Network Security Professional (FCNSP) Fortinet Certified Network Security Administrator (FCNSA)
    mercoledì 18 agosto 2010 12:10

  • Purtroppo no : lasciando a livello di condivisione solo everyone in read, quello resta il massimo livello di accesso che si può ottenere da rete.


    ho capito male io: davo per scontato che a livello di condivisione il permesso fosse everyone-full control

    mentre pensavo che il read fosse il permesso a livello di file system sulla cartella test assegnato a everyone.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    mercoledì 18 agosto 2010 12:40
    Moderatore
  • Grazie a tutti delle risposte, vi illustro quale sarebbe lo scopo di certo potrebbe aiutare: fondamentalmente l'idea è che "Everyone" acceda a TEST e possa anche vederne e aprirne il contenuto, ma non modificarlo, quindi quello che dovrebbe essere un normale criterio di permessi "read"; "everyone" però non deve accedere alla cartella SUB, cosa che deve essere possibile solo al gruppo di utenti "pippo" con permessi di modifica

    Fabrizio, ho provato a fare come da te indicato ma non raggiungo questo scopo, adesso i permessi sono: share-permission su TEST: Everyone full control; NTFS-permission su TEST: Everyone read & execute. Nonostante a livello NTFS su TEST ci sia solo read con l'utente di prova riesco ugualmente a creare cartelle e file

    Stessa cosa accade su SUB, prima non potevo creare nulla, adesso tutto, come se le restrizioni date dai permessi NTFS fossero del tutto ignorate...

    mercoledì 18 agosto 2010 13:04
  • Fabrizio, ho provato a fare come da te indicato ma non raggiungo questo scopo, adesso i permessi sono: share-permission su TEST: Everyone full control; NTFS-permission su TEST: Everyone read & execute. Nonostante a livello NTFS su TEST ci sia solo read con l'utente di prova riesco ugualmente a creare cartelle e file

    Stessa cosa accade su SUB, prima non potevo creare nulla, adesso tutto, come se le restrizioni date dai permessi NTFS fossero del tutto ignorate...


    Se l'utente o il suo gruppo sono proprietari della cartella i tuoi test potrebbero risultare falsati.


    -- Fabrizio Volpe MCSE (NT4) (2000) (2003) , MCSA (2003) , MCTS (SQL 2005) (Exchange 2007) (Windows 2008) Fortinet Certified Network Security Professional (FCNSP) Fortinet Certified Network Security Administrator (FCNSA)
    mercoledì 18 agosto 2010 13:13
  • Se l'utente o il suo gruppo sono proprietari della cartella i tuoi test potrebbero risultare falsati.


    -- Fabrizio Volpe MCSE (NT4) (2000) (2003) , MCSA (2003) , MCTS (SQL 2005) (Exchange 2007) (Windows 2008) Fortinet Certified Network Security Professional (FCNSP) Fortinet Certified Network Security Administrator (FCNSA)
    No no, le cartelle TEST e SUB le ho create io sul server
    mercoledì 18 agosto 2010 13:21
  • Sulla cartella SUB, se apri le proprietà -> security -> effective permissions, inserendo l'utente in questione, cosa ti risulta ?

    (Per intenderci, guarda la schermata delle Effective Permissions in questo articolo)

    http://technet.microsoft.com/en-us/magazine/2006.01.howitworksntfs.aspx


    -- Fabrizio Volpe MCSE (NT4) (2000) (2003) , MCSA (2003) , MCTS (SQL 2005) (Exchange 2007) (Windows 2008) Fortinet Certified Network Security Professional (FCNSP) Fortinet Certified Network Security Administrator (FCNSA)
    mercoledì 18 agosto 2010 13:26
  • Sulla cartella SUB, se apri le proprietà -> security -> effective permissions, inserendo l'utente in questione, cosa ti risulta ?

    (Per intenderci, guarda la schermata delle Effective Permissions in questo articolo)

    http://technet.microsoft.com/en-us/magazine/2006.01.howitworksntfs.aspx


    -- Fabrizio Volpe MCSE (NT4) (2000) (2003) , MCSA (2003) , MCTS (SQL 2005) (Exchange 2007) (Windows 2008) Fortinet Certified Network Security Professional (FCNSP) Fortinet Certified Network Security Administrator (FCNSA)

    Ho fatto anche questa verifica, controllando le effective permission dell'utente di prova mi mostra un set di permessi coerente con i permessi di "modify", quindi creazione file e cartelle, modifica, append etc... nonostante questo, in pratica non me lo fa fare

    Ho provato anche a riavviare il server, rifare la cartella e le share da 0, stesso risultato

    mercoledì 18 agosto 2010 13:32
  • Ho fatto anche questa verifica, controllando le effective permission dell'utente di prova mi mostra un set di permessi coerente con i permessi di "modify", quindi creazione file e cartelle, modifica, append etc... nonostante questo, in pratica non me lo fa fare

    Ho provato anche a riavviare il server, rifare la cartella e le share da 0, stesso risultato

    Aspetta, in un post precedente mi dicevi che potevi effettuare l'operazione.

    Se NON riesci mai, la cosa è un po' diversa.

    Non è che per caso sulla cartella SUB c'è qualche DENY esplicito per l'utente o uno dei suoi gruppi ?

    P.S.

    Immagino che sulla cartella TEST l'utente possa leggere come tutti gli altri (?)


    -- Fabrizio Volpe MCSE (NT4) (2000) (2003) , MCSA (2003) , MCTS (SQL 2005) (Exchange 2007) (Windows 2008) Fortinet Certified Network Security Professional (FCNSP) Fortinet Certified Network Security Administrator (FCNSA)
    mercoledì 18 agosto 2010 13:38
  • Riesco a scrivere nelle cartelle se e solo se metto gli share-permission su TEST come Everyone contributor o co-owner; in questo caso però scrivo anche direttamente sotto TEST, cosa che non dovrebbbe succedere perche i permessi NTFS su TEST dovrebbero bloccarlo dato che ho specificato Everyone read
    mercoledì 18 agosto 2010 13:47
  • Mi è appena venuto in mente che non ho ancora installato l'sp2... per scrupolo provvedo, non si sa mai...
    mercoledì 18 agosto 2010 13:56
  • però scrivo anche direttamente sotto TEST, cosa che non dovrebbbe succedere perche i permessi NTFS su TEST dovrebbero bloccarlo dato che ho specificato Everyone read

    Dovresti vedere anche su TEST gli "effective permission".

    Non credo che la Service Pack 2 risolverà qualcosa.


    -- Fabrizio Volpe MCSE (NT4) (2000) (2003) , MCSA (2003) , MCTS (SQL 2005) (Exchange 2007) (Windows 2008) Fortinet Certified Network Security Professional (FCNSP) Fortinet Certified Network Security Administrator (FCNSA)
    mercoledì 18 agosto 2010 14:20
  • Sembra che abbia risolto, onestamente ancora non ho capito come possa essere successo e nemmeno mi torna, però pare che tutto fosse dovuto al gruppo nomeserver\Users, il quale, a livello NTFS, aveva assegnato permessi in lettura piu qualche permesso speciale, andando a controllare di quali permessi speciali si trattasse questi erano proprio la creazione di cartelle e file...

    La cosa non mi torna per il semplice fatto che a livello NTFS erano specificati sia Everyone in lettura, senza permessi speciali, sia il gruppo nomeserver\Users in lettura e permessi speciali; se accedendo da rete il criterio è di applicare il piu restrittivo avrebbe dovuto vincere Everyone, giusto?

    Comunque dato che Everyone include anche "Users" ho rimosso del tutto il gruppo nomeserver\Users dai permessi NTFS e adesso l'utente di prova fa quello che gli dico, cioè legge solo sotto TEST, legge e scrive sotto TEST\SUB

    Grazie mille a tutti per l'aiuto!

    • Contrassegnato come risposta Fabrizio Volpe giovedì 19 agosto 2010 10:36
    giovedì 19 agosto 2010 07:49
  • La cosa non mi torna per il semplice fatto che a livello NTFS erano specificati sia Everyone in lettura, senza permessi speciali, sia il gruppo nomeserver\Users in lettura e permessi speciali; se accedendo da rete il criterio è di applicare il piu restrittivo avrebbe dovuto vincere Everyone, giusto?


    mi pare che non sia così quando non c'è un deny specifico, però mi riservo di testarlo.

    in ogni caso, quando si lavora sui permessi delle cartelle, conviene fare "tabula rasa" dei permessi che si trovano predefiniti e defirli tutti ex-novo per evitare di incappare in situazioni come questa.

    ciao.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org

    giovedì 19 agosto 2010 08:11
    Moderatore

  • mi pare che non sia così quando non c'è un deny specifico, però mi riservo di testarlo.


    Confermo.

    Il deny esplicito (pensato per creare delle "eccezioni") toglie automaticamente il permesso.

    Basta far parte di un gruppo che ha la negazione per perdere l'autorizzazione.


    -- Fabrizio Volpe MCSE (NT4) (2000) (2003) , MCSA (2003) , MCTS (SQL 2005) (Exchange 2007) (Windows 2008) Fortinet Certified Network Security Professional (FCNSP) Fortinet Certified Network Security Administrator (FCNSA)
    giovedì 19 agosto 2010 10:36