none
Permissão Home Folder ( Pasta Base ) RRS feed

  • Pergunta

  • Pessoal bom dia !

    Estou criando uma estrutura nova no meu servidor para os usuários armazenarem arquivos pessoais.

    Criei a pasta \\SERVIDOR\PESSOAL\%USERNAME% , mapeando uma letra pela propriedades do Perfil do usuario no AD.

    Até ai OK, ele cria normalmente sem problemas, e ao logar, o mesmo tem acesso OK.

    Minha duvida é, se um usuário espertinho fizer \\SERVIDOR\PESSOAL\ ele lista todas as pastas de usuários criadas, e tem acesso a elas também. Como bloquear para que ele tenha acesso apenas a dele ?

    Verifiquei as permissões da pasta , igual a esse tutorial, e continua com o mesmo problema de acessar a pasta dos outros usuários. (https://ittoolsbr.wordpress.com/2013/07/18/criacao-de-pasta-base-automaticamente-home-user-dir/)

    Grata pela ajuda

    quinta-feira, 9 de março de 2017 14:40

Respostas

  • Não podemos confundir pasta base com profile path.

    Por padrão quando configuro um Roaming Profile utilizando o campo "Profile Path" na conta de usuário estou indicando o caminho do perfil na rede daquele usuário e ao carregar o profile nenhum outro usuário consegue acessar o conteúdo do diretório, nem mesmo administradores (para administradores há uma GPO que permite o acesso e deve ser aplicada antes do profile ser criado, evitando que eu tenha que tomar posse para acessar dados)... porém este não é o seu cenário.

    O seu cenário é simplesmente um diretório de rede compartilhado que segue as regras de permissão baseado em NTFS x Share Permissions, ou seja, você criou no SERVER um diretório compartilhado PESSOAL e o apontou como pasta base do USER1 "\\server\pessoal\%username%" que automaticamente cria uma pasta USER1 como subdiretório de PESSOAL, herdando todas as permissões NTFS da pasta pai, fazendo com que outros usuários tenham acesso ao conteúdo.

    O que você precisa fazer, pois isso não é feito de modo automático é quebrar a herança da pasta USER1 e definir que somente o USER1 ou grupos de usuários específicos, SYSTEM e o grupo de administração tenham acesso ao conteúdo, fazendo com que outros usuários recebam acesso negado ao tentar acessar o diretório. 

    Confira erro abaixo ao tentar acessar com o User2 que não possui acesso ao diretório:

    Utilizando em conjunto permissões e o recurso Access Based-Enumeration, os usuários não visualizarão os diretórios que não possuem permissão.

    Ativo o ABE na pasta Pessoal

    Defina o acesso nos diretórios dos usuários, isso vale para usuários e grupos caso queria utilizar grupos para acesso. no Caso coloquei o User1 com Modificar na própria pasta.

    Ao tentar acessar com o User2, ocorre o seguinte:

    boa sorte

    abs,


    Se quiser derrubar uma árvore na metade do tempo, passe o dobro do tempo amolando o machado.


    sábado, 11 de março de 2017 18:32
    Moderador

Todas as Respostas

  • Fiz Teste com outro usuário.

    Loguei com esse outro usuário, e fiz um \\SERVIDOR\PESSOAL e esse usuário teve acesso a todas pastas base (home folder )dos usuários criadas.

    O que pode ser ?

    sexta-feira, 10 de março de 2017 14:30
  • Não podemos confundir pasta base com profile path.

    Por padrão quando configuro um Roaming Profile utilizando o campo "Profile Path" na conta de usuário estou indicando o caminho do perfil na rede daquele usuário e ao carregar o profile nenhum outro usuário consegue acessar o conteúdo do diretório, nem mesmo administradores (para administradores há uma GPO que permite o acesso e deve ser aplicada antes do profile ser criado, evitando que eu tenha que tomar posse para acessar dados)... porém este não é o seu cenário.

    O seu cenário é simplesmente um diretório de rede compartilhado que segue as regras de permissão baseado em NTFS x Share Permissions, ou seja, você criou no SERVER um diretório compartilhado PESSOAL e o apontou como pasta base do USER1 "\\server\pessoal\%username%" que automaticamente cria uma pasta USER1 como subdiretório de PESSOAL, herdando todas as permissões NTFS da pasta pai, fazendo com que outros usuários tenham acesso ao conteúdo.

    O que você precisa fazer, pois isso não é feito de modo automático é quebrar a herança da pasta USER1 e definir que somente o USER1 ou grupos de usuários específicos, SYSTEM e o grupo de administração tenham acesso ao conteúdo, fazendo com que outros usuários recebam acesso negado ao tentar acessar o diretório. 

    Confira erro abaixo ao tentar acessar com o User2 que não possui acesso ao diretório:

    Utilizando em conjunto permissões e o recurso Access Based-Enumeration, os usuários não visualizarão os diretórios que não possuem permissão.

    Ativo o ABE na pasta Pessoal

    Defina o acesso nos diretórios dos usuários, isso vale para usuários e grupos caso queria utilizar grupos para acesso. no Caso coloquei o User1 com Modificar na própria pasta.

    Ao tentar acessar com o User2, ocorre o seguinte:

    boa sorte

    abs,


    Se quiser derrubar uma árvore na metade do tempo, passe o dobro do tempo amolando o machado.


    sábado, 11 de março de 2017 18:32
    Moderador
  • Felipe, obrigado pela dica.

    Pensei mesmo em fazer isso, mas achei que existisse uma maneira "mais fácil", pois ficar mudando um a um essas permissões, para uns 500 usuários, é algo meio trabalhoso...

    grata.

    segunda-feira, 13 de março de 2017 19:42
  • O correto é aplicar na criação.. ou crie um script para acertar as permissões.

    Se quiser derrubar uma árvore na metade do tempo, passe o dobro do tempo amolando o machado.

    segunda-feira, 13 de março de 2017 21:41
    Moderador