none
Permessi solo scrittura per una cartella di tipo drop box RRS feed

 > 

  • Domanda

  • Question
    Registrati per votare
    0
    Registrati per votare
    Buongiorno a tutti,

    Ho un problema di permessi per un file server 2008.

    Per ogni utente del dominio devo creare 3 cartella su una share di tipo \\fileserver01\users\nome.cognome.
    All'interno di questa cartella ci devono essere 3 sotto cartelle:
    \\fileserver01\users\nome.cognome\private = Lettura e scrittura: l’utente può leggere, copiare, modificare ed eliminare il contenuto della cartella. Nessun altro può accederci.
    \\fileserver01\users\nome.cognome\public = Lettura e scrittura: l’utente può leggere, copiare, modificare ed eliminare il contenuto della cartella. Everyone possono solo leggere il contenuto (Solo lettura:).
    \\fileserver01\users\nome.cognome\drop=Lettura e scrittura: l’utente può leggere, copiare, modificare ed eliminare il contenuto della cartella. Everyone possono soltanto scrivere nella cartella. Everyone     non può visualizzare il contenuto della cartella drop. Gli utenti con privilegi (everyone) “Solo scrittura” possono sovrascrivere gli elementi contenuti nella cartella drop, se ciò che copiano nella cartella ha lo stesso nome di un elemento già presente.

    La cartella DROP mi server per l'interscambio dei documenti confidenziali senza utilizzare la posta elettronica....
    Io non riesco a dare gli accessi in sola scrittura alla cartella senza evitare che gli utenti riescono a visualizzarne il contenuto.

    Spero di essere stato chiaro.

    Qualcuno ha fatto qualcosa di simile ?

    Grazie
    Marco
    mercoledì 17 marzo 2010 09:10
    |

Risposte

  • Question
    Registrati per votare
    1
    Registrati per votare

    Ciao!

    permettimi di dissentire con Edoardo: SI PUO' FARE ECCOME!

    mi concentrerò sulla cartella DROP, che sembra il tema principale del thread:

     

    intanto devi assicurarti di mantenere solo le autorizzazioni per l'utente, per SYSTEM e per CREATOR OWNER come le trovi predefinite. (tieni anche Administrator, all'inizio, per non chiuderti fuori dalla porta e ricominciare tutto daccapo... :-D )

    se le autorizzazioni sono ereditate, vai sotto avanzate e togli la spunta da "eredita....". Poi quando ti vien chiesto, scegli di COPIARE le autorizzazioni e poi modificale come segue.

    POI

    aggiungi l'utente "proprietario" della cartella e dagli FULL CONTROL

    vai nei permessi e scegli avanzate, aggiungi Everyone con i SOLI permessi che seguono:

    Creazione file / scrittura dati
    creazione cartelle / Aggiunta dati

     

    Ora, per testare (notare che io l'ho fatto qui ADESSO su un XP SP3 e FUNZIONA) apri un CMD, scrivi:

    runas /utente:NOMEDOMINIO\nomeutente cmd

    dove nomeutente è il nome di un ALTRO utente che deve avere SOLO i privilegi di scrittura sulla cartella drop e quindi NON E' PRESENTE nella lista ACLs.

    dopo la richiesta password ti si apre una shell sotto lo user-space dell'utente (gira con quell'account)

    da QUELLA FINESTRA, spostati nella root folder dell'utente proprietario (dove ci sono le tre cartelle) e digita:

    cd drop <invio>

    ti dirà ACCESSO NEGATO

    poi però prova a fare:

    echo PIPPOPLUTOEPAPERINO>drop\prova.txt <invio>

    a questo punto ti si è creato il file, scritto dall'utente X nella cartella (lo puoi verificare andando nella cartella con l'utente "proprietario")

    un effetto collaterale che potrebbe esserti antipatico (ma è risolvibile) è:

    se digiti notepad drop\prova.txt sotto i privilegi di quell'utente, ti si apre e lo puoi modificare. MA SOLO L'UTENTE CHE LO HA CREATO!

    Questo è derivato dai permessi di CREATOR OWNER. Io penso che torni utile, ma se vuoi puoi togliere la voce di CREATOR OWNER e, da lì in avanti, ogni tentativo di aprire un file anche se lo ha generato lui, darà un bel "Accesso Negato".

     

    se ti interessa potrei scrivere uno script che enumera gli utenti di una data OU e genera le cartelle automaticamente con i diritti giusti. Se lo vuoi apri un altro thread (è corretto perchè poi chi cerca modi di scriptare la creazione di cartelle lo trova) e mandami qui il link.


    spero di esserti stato utile!

    Ciao!

     

    Diego Castelli
    martedì 23 marzo 2010 14:14
    |

Tutte le risposte

  • Question
    Registrati per votare
    0
    Registrati per votare
    In windows 2008 le permission di Deny  hanno la precedenza su quelle di Allow ?
    Qualcuno sa dirmi com'è l'ordine delle permission ?


    mercoledì 17 marzo 2010 12:12
    |
  • Question
    Registrati per votare
    0
    Registrati per votare
    ciao Marco,
    le deny hanno la precedenza sulle allow.
    Alberto
    mercoledì 17 marzo 2010 18:02
    |
  • Question
    Registrati per votare
    0
    Registrati per votare
    non si può proprio fare.
    ciao.
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    edo[at]mvps[dot]org
    giovedì 18 marzo 2010 12:02
    |
    Moderatore
  • Question
    Registrati per votare
    1
    Registrati per votare

    Ciao!

    permettimi di dissentire con Edoardo: SI PUO' FARE ECCOME!

    mi concentrerò sulla cartella DROP, che sembra il tema principale del thread:

     

    intanto devi assicurarti di mantenere solo le autorizzazioni per l'utente, per SYSTEM e per CREATOR OWNER come le trovi predefinite. (tieni anche Administrator, all'inizio, per non chiuderti fuori dalla porta e ricominciare tutto daccapo... :-D )

    se le autorizzazioni sono ereditate, vai sotto avanzate e togli la spunta da "eredita....". Poi quando ti vien chiesto, scegli di COPIARE le autorizzazioni e poi modificale come segue.

    POI

    aggiungi l'utente "proprietario" della cartella e dagli FULL CONTROL

    vai nei permessi e scegli avanzate, aggiungi Everyone con i SOLI permessi che seguono:

    Creazione file / scrittura dati
    creazione cartelle / Aggiunta dati

     

    Ora, per testare (notare che io l'ho fatto qui ADESSO su un XP SP3 e FUNZIONA) apri un CMD, scrivi:

    runas /utente:NOMEDOMINIO\nomeutente cmd

    dove nomeutente è il nome di un ALTRO utente che deve avere SOLO i privilegi di scrittura sulla cartella drop e quindi NON E' PRESENTE nella lista ACLs.

    dopo la richiesta password ti si apre una shell sotto lo user-space dell'utente (gira con quell'account)

    da QUELLA FINESTRA, spostati nella root folder dell'utente proprietario (dove ci sono le tre cartelle) e digita:

    cd drop <invio>

    ti dirà ACCESSO NEGATO

    poi però prova a fare:

    echo PIPPOPLUTOEPAPERINO>drop\prova.txt <invio>

    a questo punto ti si è creato il file, scritto dall'utente X nella cartella (lo puoi verificare andando nella cartella con l'utente "proprietario")

    un effetto collaterale che potrebbe esserti antipatico (ma è risolvibile) è:

    se digiti notepad drop\prova.txt sotto i privilegi di quell'utente, ti si apre e lo puoi modificare. MA SOLO L'UTENTE CHE LO HA CREATO!

    Questo è derivato dai permessi di CREATOR OWNER. Io penso che torni utile, ma se vuoi puoi togliere la voce di CREATOR OWNER e, da lì in avanti, ogni tentativo di aprire un file anche se lo ha generato lui, darà un bel "Accesso Negato".

     

    se ti interessa potrei scrivere uno script che enumera gli utenti di una data OU e genera le cartelle automaticamente con i diritti giusti. Se lo vuoi apri un altro thread (è corretto perchè poi chi cerca modi di scriptare la creazione di cartelle lo trova) e mandami qui il link.


    spero di esserti stato utile!

    Ciao!

     

    Diego Castelli
    martedì 23 marzo 2010 14:14
    |
  • Question
    Registrati per votare
    0
    Registrati per votare
    Salve, vorrei riesumare questo intervento perchè ho un problema simile: i permessi descritti sono da specificare nella scheda sicurezza della cartella, nella scheda condivisione come devono essere gestiti i permessi?
    giovedì 23 febbraio 2012 07:51
    |
  • Question
    Registrati per votare
    0
    Registrati per votare
    nella scheda condivisione metti everyone - full control.

    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org

    giovedì 23 febbraio 2012 10:04
    |
    Moderatore
  • Question
    Registrati per votare
    0
    Registrati per votare

    grazie x la risposta

    perfetto....faccio solo un riassunto dello scenario:

    ho una cartella condivisa sotto dominio. Ho necessità che gli utenti abbiano il controllo completo dei file/cartelle ma non la possibilità di sfogliare il filesystem. Ho creato la cartella e l'ho condivisa, nelle autorizzazioni ho inserito everyone controllo completo. Nella scheda sicurezza ho everyone consenti scrittura(unica voce consentita), creator owner (autorizzazioni speciali), domain admins (controllo completo), system (controllo completo)...connettendomi come utente di dominio NON mi fa sfogliare la cartella ed è corretto....mi fa creare file salvandoli con il percorso assoluto ed è corretto, mi permette di aprire i file creati e modificarli ed è corretto. Il problema è che i permessi sono limitati al proprietario del file presumo dall'autorizzazione a creator owner, ma un altro utente di dominio NON riesce ad operare sui file che non siano creati da lui e non è corretto......


    • Modificato Potter68 giovedì 23 febbraio 2012 10:17
    giovedì 23 febbraio 2012 10:17
    |
  • Question
    Registrati per votare
    0
    Registrati per votare

    Ciao Potter,

    Ma CERTO che è corretto!

    Everyone ha i permessi solo per SCRIVERE, non per MODIFICARE.

    Non devi aver capito bene qualcosa del 3d che riesumi.

    La domanda era appunto come creare una cartella DROP in cui chiunque potesse scrivere ma nessuno (a parte il proprietario, creatore del file. Questo è già un effetto collaterale, rispetto alla richiesta) potesse modificare.

    Mi sembra di aver capito che tu voglia assegnare i permessi di MODIFICA ad un gruppo di utenti specifico. In questo caso dovrai aggiungere questo gruppo ( o questi utenti singoli, ma consiglio sempre il gruppo ) alle ACL di questa cartella (scheda sicurezza). In questo modo tutti potranno scrivere, quel gruppo di persone potrà vedere E MODIFICARE tutto e, al di fuori di quel gruppo, solo i proprietari dei singoli files potranno modificarli.

    Se hai qualche altro dubbio, affichè possiamo aiutarti meglio, apri un thread a parte e specifica dettagliatamente che cosa vuoi fare.

    HTH

    CIAO! :-)

    Diego Castelli - MCSA 2003, MCP ISA 2004, MCTS Forefront. ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.

    giovedì 23 febbraio 2012 13:50
    |
  • Question
    Registrati per votare
    0
    Registrati per votare
    verissimo, ho approfittato di un 3d aperto ma che in realtà non è esattamente quello che avevo intenzione di configurare. Provvedo ad aprire un 3d.....
    • Modificato Potter68 giovedì 23 febbraio 2012 14:25
    giovedì 23 febbraio 2012 14:16
    |