none
Problema con cartelle condivise File Server in dominio RRS feed

 > 

  • Domanda

  • Question
    Registrati per votare
    0
    Registrati per votare

    Buongiorno a tutti

    Sto cercando di configurare un file server creando le cartelle condivise per gli utenti, ma ,essendo alle prime armi, sto facendo un pò di casini.

    Nello specifico ho questa struttura di cartelle:

    D:\Societa\Uffici

    All'interno di uffici ho una cartella per ciascuna area con all'interno una cartella per ogni Ufficio dell'area più una cartella per lo scambio difile all'interno dell'area.

    Esempio : Area4\Scambio; Area4\Ufficio1; Area4\Ufficio2

    Con riferimento all'esempio gli utenti sono divisi nei seguenti gruppi : GRPUfficio1; GRPUfficio2; GRPArea4 (con membri GRPUfficio1 e GRPUfficio2).

    Quello che si vuole è :

    -Solo gli utenti dell'area (es:GRPArea4) devono poter accedere alla cartella corrispondente (Area4)

    -Tutti gli utenti di GRPArea4 devono poter accedere in modifica alla cartella Scambio

    -Solo gli utenti dell'ufficio (Es:Ufficio1) devono accedere alla rispettiva cartella e a nessun altra (a meno che no facciano parte anche di altri gruppi).

     

    I permessi che ho impostato sono i seguenti:

    -Società (nessuna condivisione, permessi NTFS : Administrator(Full control) , System (full control))

    -Uffici (condivisione in lettura con il gruppo Authenticated Users; Permessi NTFS : Administrator e System (ereditati); Authenticaed users (lettura ed esecuzione, lettura, Visualizza contenuto cartella)

    -Area4 (permessi NTFS : Auth.Users (ereditati da Uffici); GRPArea4 (lettura ed esecuzione, lettura, Visualizza contenuto cartella)

    -Ufficio1 (Permessi NTFS : GRPUfficio1 (Modifica); GRPArea4 (ereditati da Area4); Auth.Users (ereditati da Uffici))

    -Ufficio2 (Permessi NTFS : GRPUfficio2 (Modifica); GRPArea4 (ereditati da Area4); Auth.Users (ereditati da Uffici))

    -Scambio (Modifica al GRPArea4)

     

    Purtoppo il comportamento non è quello desiderato.

    Quando mi collego sul server dal dominio (quindi come Authenticated Users) di fatto posso aprire le cartelle di tutti gli uffici (di tutte le Aree!).

    Il problema è l'aver abilitato il gruppo Auth. Users nella cartella Uffici (i permessi si ereditano alle sottocartelle).

    L'idea è quella di risolvere non propagando l'ereditarietà. Ci sono altre soluzioni ? Voi come impostereste i permessi?

    Grazie.

    martedì 12 giugno 2012 09:28
    |

Risposte

  • Question
    Registrati per votare
    0
    Registrati per votare

    esatto, devi eliminare l'ereditarietà oppure, visto che dai permessi specifici ed espliciti ad ogni Security Group, puoi tranquillamente togliere del tutto Authenticated Users dalla cartella parent in cui è definito il permesso.

    ciao.

    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org

    mercoledì 13 giugno 2012 12:03
    |
    Moderatore
  • Question
    Registrati per votare
    0
    Registrati per votare

    solo Uffici dev'essere condivisa con ABE attivata, Area2 non dev'essere condivisa.

    ciao.

    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org

    • Contrassegnato come risposta liuc sabato 23 giugno 2012 12:00
    venerdì 22 giugno 2012 08:49
    |
    Moderatore

Tutte le risposte

  • Question
    Registrati per votare
    0
    Registrati per votare

    esatto, devi eliminare l'ereditarietà oppure, visto che dai permessi specifici ed espliciti ad ogni Security Group, puoi tranquillamente togliere del tutto Authenticated Users dalla cartella parent in cui è definito il permesso.

    ciao.

    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org

    mercoledì 13 giugno 2012 12:03
    |
    Moderatore
  • Question
    Registrati per votare
    0
    Registrati per votare

    Grazie.

    inriferimento alla struttura di cartelle di cui sopra, sono combattuto tra due "strategie" di condivisione:

    a) condividere la cartella Uffici e gestire gli accesse alle cartelle delle aree tramite permessi NTFS. In questo modo limito il numero di condivisioni visibili , ma all'interno di Uffici tutti vedrebbero le varie sottocartelle (pur non avendo i permessi per accedervi).

    b) Consentire l'accesso tramite NTFS alla cartella Uffici e condividere le sottocartelle (varie aree) solo ai gruppi appropriati. In questo modo tramite ABE posso nascondere le cartelle non accessibili agli utenti che si collegano. L'unico "problema" ce l'avrebbe il gruppo CED al quale darei visibilità di tutte le condivisioni.

    Credo che in termini di sicurezza nn ci siano grosse differenze, o sbaglio?

    giovedì 14 giugno 2012 12:18
    |
  • Question
    Registrati per votare
    0
    Registrati per votare
    ti consiglio la seconda strada perchè blindi molto di più il sistema

    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org

    giovedì 14 giugno 2012 14:13
    |
    Moderatore
  • Question
    Registrati per votare
    0
    Registrati per votare

    Non so se sbaglio in qualcosa, ma sembra che la seconda opzione non si possa implementare come vorrei.

    Ho provato così :

    Sul server abbiamo le seguenti cartelle :

    D:\FileServer
    D:\FileServer\Uffici
    D:\FileServer\Uffici\Area1
    D:\FileServer\Uffici\Area2
    D:\FileServer\Uffici\CED

    D:\FileServer : nessuna condivisione; NTFS : Administrator (FC), SYSTEM  (FC), CREATOR OWNER (FC)
    D:\FileServer\Uffici : condivisione : GRP_UTENTI (C) + Access Based Enumeration; NTFS : GRP_UTENTI : Visualizza contenuto cartella (Solo la cartella selezionata)

    D:\FileServer\Uffici\Area1 : nessuna condivisione; NTFS :GRP_AREA1 (Modifica);

    D:\FileServer\Uffici\Area2 : condivisione : GRP_AREA2 (Modifica) + Access Based Enumeration; NTFS : GRP_AREA2 (Modifica);

    D:\FileServer\Uffici\CED : nessuna condivisione; NTFS : GRP_CED (FC);

    Se mi collego al server come utente del gruppo ced vedo due condivisioni : Uffici e Area2 <== Credevo che ABE nascondesse Area2!

    Entrando in Uffici, invece, vedo solo la cartella CED (correttamente l'unica cui posso accedere).

    Ne deduco che o sbaglio qualcosa, o non è possibile condividere le varie sottocartelle di Uffici nascondendole tramite ABE, il quale, invece, mi nasconde le sottocartelle non condivise di Uffici.

    Grazie.

     

     

     

     

     

     

    venerdì 15 giugno 2012 06:24
    |
  • Question
    Registrati per votare
    0
    Registrati per votare
    ABE nasconde Area2 solo se la tua share di partenza è Uffici.

    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org

    lunedì 18 giugno 2012 07:42
    |
    Moderatore
  • Question
    Registrati per votare
    0
    Registrati per votare

    Ciao liuc,

    Per ora evidenzio la risposta ricevuta, in attesa di ulteriori aggiornamenti al thread.

    Facci sapere l'esito di eventuali prove, grazie!

    Anca Popa Follow ForumTechNetIt on Twitter

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda. 

    martedì 19 giugno 2012 10:51
    |
  • Question
    Registrati per votare
    0
    Registrati per votare

    Effettivamente se mi collego al server e poi apro Uffici , Area2 viene correttamente nascosta.

    Il problema è che quando accedo al server remoto( \\nomeserver) io vedo due condivisioni Uffici e Area2, mentre vorrei vedere solo Uffici.

    Forse dovrei mappare una unità di rete alla share iniziale (Uffici).

     

    mercoledì 20 giugno 2012 10:00
    |
  • Question
    Registrati per votare
    0
    Registrati per votare
    ripeto: devi condividere la cartella Uffici e non la cartella FileServer se vuoi che ABE nasconda la cartella Area2.

    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org

    mercoledì 20 giugno 2012 14:04
    |
    Moderatore
  • Question
    Registrati per votare
    0
    Registrati per votare

    FileServer non è condivisa.

    L'unica condivisione è Uffici (con ABE impostato).

    Ho provato a condividere anche Area2 sperando che non fosse visibile, ma non è così. Sul server vedo tutte e due le condivisioni Uffici e Area2. Se entro in Uffici Area2 è nascosta.

    Spero di essere stato chiaro.

    mercoledì 20 giugno 2012 14:22
    |
  • Question
    Registrati per votare
    0
    Registrati per votare

    solo Uffici dev'essere condivisa con ABE attivata, Area2 non dev'essere condivisa.

    ciao.

    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org

    • Contrassegnato come risposta liuc sabato 23 giugno 2012 12:00
    venerdì 22 giugno 2012 08:49
    |
    Moderatore