none
Permissões Especiais Active Directory RRS feed

  • Pergunta

  • Estou com um problema que está me tirando o sono.

    Meu controlador de domínio é um 2000 Server SP4 Inglês.

    Meu servidor de arquivos é um 2003 Server Standard Português-BR (NÃO é R2).

    Os grupos e usuários estão OK no 2000 Server e os diretórios com as pastas compartilhadas estão OK no 2003.  Configurei cada diretório no 2003 de acordo com os grupos de cada setor na empresa. Vou dar um exemplo de um setor na empresa, com os grupos, usuários e diretórios e os problemas que tenho enfrentado.

     

    Server1= Windows 2000 Server SP4 EN

    Server2=Windows 2003 Server Standard PT-BR

    Setor: RH

    Usuários: João, José, Pedro, Maria.

     

    Criei os usuários e 3 tipos diferentes de grupos globais no controlador de domínio (2000 Server). O grupo GG_RH_RO (somente leitura), GG_RH_RW (leitura, gravação, NÃO cria pasta, NÃO deleta e/ou cria diretórios e/ou arquivos), e GG_RH_RWC (leitura, gravação, criação de pastas, deleta e/ou cria diretórios e/ou arquivos).

    Perfil de cada usuário: João (GG_RH_RO), José (GG_RH_RW), Pedro (GG_RH_RW), Maria (GG_RH_RWC).

     

    O usuário João só tem permissão para leitura. Perfeito e sem problemas!

    O usuário Maria tem permissão para gravar, criar pastas, renomear, excluir arquivos e pastas, mover. Perfeito também!!

    Agora meus problemas, com os usuários José e Pedro. Preciso que o grupo RW faça exatamente o que descrevi (ler, gravar, NÃO CRIAR/EXCLUIR pastas e arquivos). Sempre que um documento do Office é aberto e alterado um arquivo com extensão TMP é gerado, é lógico que ele não exclui automaticamente como acontece com o usuário que tem permissão, porque o grupo não tem permissão para exclusão. A solução que encontrei para esse problema foi criar um script no Windows Powershell para excluir todos os arquivos com extensão TMP. Se tiver uma solução melhor por favor postem.

     

    Agora vem meu maior problema. Se algum dos usuários do grupo RW clicar em "Propriedades" da pasta RH consegue visualizar a aba "Segurança" com os grupos associados a essa pasta. Até aí tudo bem porque ele não pode fazer nada, só consegue ver, mas ao clicar nas propriedades de um arquivo *.doc por exemplo DENTRO da pasta RH, além de ele conseguir visualizar a aba "Segurança", ele pode alterar as permissões do arquivo, dar controle total, e excluir o arquivo do grupo que foi associado. Algumas alterações mesmo sendo alteradas, como controle total por exemplo, não são aplicadas, mas se o usuário excluir o grupo F*** o arquivo, e preciso ficar adicionando os grupos com as permissões para acesso novamente. Já editei as permissões especiais e não tem jeito de dar certo.

    Na verdade eu quero que não esteja habilitada a aba "Segurança" pra nenhum usuário dos grupos. Nem grupo RO, nem RW, nem os usuários do grupo RWC.

    Alguém tem uma solução ou soluções para os problemas que tenho enfrentado?

     

    Obrigado!!

    • Tipo Alterado AndreAlvesLima terça-feira, 21 de setembro de 2010 20:58
    • Movido AndreAlvesLima terça-feira, 21 de setembro de 2010 20:59 (De:Grupos de Usuários)
    segunda-feira, 20 de setembro de 2010 13:24

Respostas

  • Rafael,

    vamos lá:

    Caso um usuário não tenha a permissão Controle Total, ele não conseguirá alterar as permissões NTFS de outros arquivos.

    No seu caso, você deve trabalhar com a opção MODIFICAR, que permitirá que o usuário exclua os arquivos criados, caso contrário, ele não conseguirá excluir os TMP que são abertos durante a execução de outros programas. Uma saída é rodar um script para remover os temporários nas credenciais de um outro usuário com permissão para remover os arquivos.

    A guia Segurança, por padrão, é exibida no ambiente de domínio para os usuários. Mas se o usuário não tiver permissão, ele não conseguirá alterar nada, só visualizar. O que pode estar acontecendo no seu caso, é ele estar atribuindo Controle Total ao PROPRIETÁRIO CRIADOR do arquivo, e com isso, o usuário consegue alterar as permissões, mas só dos arquivos criados por ele mesmo. Talvez seja isso que esteja acontecendo.

    Existe uma solução mais drástica, que é omitir a guia Segurança das pastas e arquivos, isso pode ser aplicado por GPO a determinados usuários.

    O KB abaixo mostra como fazer isso, mas atenção, ele é orientado ao 2000, eu não o validei no 2003:

    http://support.microsoft.com/kb/303153

    Dependendo das suas necessidades, pode ser interessante validar esse KB em um ambiente de testes no 2003 e se tudo funcionar OK, ver se ele atende ao que vc deseja.

    Existem várias opções para contornar o seu "problema", conforme escrevi acima. Mas particularmente, eu sugiro para você uma pequena modificação, e que não irá criar nenhum impacto:

    - Criar uma pasta para cada usuário. Em cada pasta, você dá permissão para o respectivo usuário criar, alterar e excluir e todos outros usuários, apenas ler e executar, ou também alterar. Acho que essa é a solução mais simples e que melhor se aplica ao seu caso, de qualquer forma, existem várias possibilidades conforme foi escrito para vc resolver a questão.

    Qualquer dúvida é só postar de novo. Boa sorte !

    Att,

     

     

    Att,

     

     

     

     


    Fabiano Barreira

    MCP + MCDST + MCSA on Windows Server 2003 + MCTS + MCITP
    quarta-feira, 22 de setembro de 2010 10:13

Todas as Respostas

  • Prezado(a),

    Estou migrando seu post para o fórum de Windows Server.

    Por favor, das próximas vezes que for postar alguma dúvida referente a esse assunto, poste por lá.

    Obrigado.


    André Alves de Lima
    Visite o meu site: http://andrealveslima.spaces.live.com
    Me siga no Twitter: @andrealveslima
    terça-feira, 21 de setembro de 2010 20:58
  • Rafael,

    vamos lá:

    Caso um usuário não tenha a permissão Controle Total, ele não conseguirá alterar as permissões NTFS de outros arquivos.

    No seu caso, você deve trabalhar com a opção MODIFICAR, que permitirá que o usuário exclua os arquivos criados, caso contrário, ele não conseguirá excluir os TMP que são abertos durante a execução de outros programas. Uma saída é rodar um script para remover os temporários nas credenciais de um outro usuário com permissão para remover os arquivos.

    A guia Segurança, por padrão, é exibida no ambiente de domínio para os usuários. Mas se o usuário não tiver permissão, ele não conseguirá alterar nada, só visualizar. O que pode estar acontecendo no seu caso, é ele estar atribuindo Controle Total ao PROPRIETÁRIO CRIADOR do arquivo, e com isso, o usuário consegue alterar as permissões, mas só dos arquivos criados por ele mesmo. Talvez seja isso que esteja acontecendo.

    Existe uma solução mais drástica, que é omitir a guia Segurança das pastas e arquivos, isso pode ser aplicado por GPO a determinados usuários.

    O KB abaixo mostra como fazer isso, mas atenção, ele é orientado ao 2000, eu não o validei no 2003:

    http://support.microsoft.com/kb/303153

    Dependendo das suas necessidades, pode ser interessante validar esse KB em um ambiente de testes no 2003 e se tudo funcionar OK, ver se ele atende ao que vc deseja.

    Existem várias opções para contornar o seu "problema", conforme escrevi acima. Mas particularmente, eu sugiro para você uma pequena modificação, e que não irá criar nenhum impacto:

    - Criar uma pasta para cada usuário. Em cada pasta, você dá permissão para o respectivo usuário criar, alterar e excluir e todos outros usuários, apenas ler e executar, ou também alterar. Acho que essa é a solução mais simples e que melhor se aplica ao seu caso, de qualquer forma, existem várias possibilidades conforme foi escrito para vc resolver a questão.

    Qualquer dúvida é só postar de novo. Boa sorte !

    Att,

     

     

    Att,

     

     

     

     


    Fabiano Barreira

    MCP + MCDST + MCSA on Windows Server 2003 + MCTS + MCITP
    quarta-feira, 22 de setembro de 2010 10:13