none
Permissão NTFS "Change Permissions" não esta aplicando. RRS feed

  • Pergunta

  • Ola pessoal, td bem?

    Estamos com um problemão aqui no trabalho, impossibilitando a implementação de nosso servidor.

    Ambiente:

    Acount teste222 adicionado ao Grupo Global G_Departamenta_L

    G_Departamental_L como membro de do Grupo Local DL_Depatamental_L

     Uma pasta (denominada departamental) foi compartilhada  na rede para all users (read only), e nas permissões NTFS, na opção PERMISSION ENTRY FOR DEPARTAMENTAL selecionei apenas as Opções: Traverse folder, List forder, read atributes, read extended atributtes e read permission.

     O problema é que testando as configurações aplicadas com o acount teste, nosso amigo teste 222 conseguiu alterar as permissões da pasta, podendo inclusive clicar em Full Control e usufruir da permissão!!!!

    A questão é:

    Como é possível, sendo que a opção CHANGE PERMISSION não está selecionado?????

    HELP! pois devido a este conflito nosso projeto esta parado!!

    segunda-feira, 17 de outubro de 2011 12:26

Respostas

  • Você já verificou as permissões efetivas?

    Botão Direito --> Propriedades --> Segurança --> Avançado --> Permissões efetivas.

     

    Abraços.

    • Marcado como Resposta Richard Juhasz quinta-feira, 3 de novembro de 2011 18:19
    segunda-feira, 31 de outubro de 2011 15:29
  • Rafael,

    Realizei um ambiente com as configurações que você citou e encontrei comente um problema. As permissões NTFS foram aplicadas. O único problema foi a permissão de compartilhamento para Everyone 'somente-leitura'. Você deve configurar a permissão de compartilhamento para 'Modificar' e realizar as restrições nas permissões NTFS.

    Ainda estou confuso com seu ambiente. Você teve algum sucesso?


    Rafael Araújo - MCSA | MCITP: SA | MCITP: EA | MCITP:EMA 2010 | MCT | ITILv3
    • Marcado como Resposta Richard Juhasz quinta-feira, 3 de novembro de 2011 18:19
    segunda-feira, 31 de outubro de 2011 11:51

Todas as Respostas

  • Olá Rafael,

    Tente verificar se o usuário/grupo não possui nenhuma permissão avançada, segue imagem abaixo:

    Abraços,


    Rafael Mantovani
    segunda-feira, 17 de outubro de 2011 12:42
  •  Este é justamente o motivo do post Rafael.

     Como pode verificar, mesmo com as permissões avançadas, a grosso modo dizendo, com perfil de leitura, o usuário consegue alterar permissões!

     Vale ressaltar que a opção que define esta possibilidade (ou não) é change permission, e a mesma não está selecionada.

    segunda-feira, 17 de outubro de 2011 13:03
  • Verique as pastas abaixo, verifique tb as permissões de compartilhamento.

     

    Abraços,

     


    Rafael Mantovani
    segunda-feira, 17 de outubro de 2011 13:06
  • Ok...

    Vamos lá:

    Eis o mapa de nosso diretório:

    E:\arquivos e pastas\TI\departamental

    O diretório inicial ARQUIVOS E PASTAS está compartilhado para everyone, no modo read only, conforme anexo:

     

    O diretório a seguir, TI, herda as permissões de seu pai, ARQUIVOS E PASTAS.Portanto, nada muda nesta pasta.

    O proximo diretório, a pasta filho, a ovelha negra (rsrs), a pasta DEPARTAMENTAL, é que está nos dando dor de kbeça.Nesta pasta é quebrada a herança e atribuída a permissão conforme descrito nos posts anteriores.

     

    segunda-feira, 17 de outubro de 2011 13:35
  • Rafa, só por questões de curiosidade.

    Você consegue criar uma nova pasta (no mesmo nível dessa da ovelha negra), quebrar a hierarquia, dar as permissões e realizar o acesso, só para verificarmos se o acesso é realizado da forma como você deseja?

    Abraços,


    Rafael Mantovani
    segunda-feira, 17 de outubro de 2011 13:38
  • Rafael,

    Certifica se o usuário teste 222 não está em nenhum outro grupo com permissões administrativas nesta pasta ou na pasta pai.

    Após isso, apenas para testes, marque a opção DENY para Change Permissions para o grupo Everyone e verifique se o mesmo consegue alterar.


    Rafael Araújo - MCSA | MCITP: SA | MCITP: EA | MCITP:EMA 2010 | MCT | ITILv3
    quinta-feira, 20 de outubro de 2011 14:00
  • Primeiramente gostaria de detalhar o processo:

    1 -Criado usuário ti 222, o qual é membro de um grupo:

    G_tecnologia_dep_L  (ou seja, usuário terá acesso a pasta Departamental com direitos de (somente) leitura.Poderá visualizar o conteúdo, porém sem nenhum tipo de alteração

    2 -Criado o seguinte sistema de diretório:

    E:\arquivos e pastas\TI\Departamental

    3 – \Arquivos e pastas foi compartilhada para everyone (somente leitura)

    4 – Na pasta Departamental foi quebrada a herança, excluído everyone das permissões NTFS e incluso o grupo tecnologia_L, para subfolders  and files e atributos de leitura.

     

     

     

    Até aqui perfeito...realizei login com ti 222 e todas as configurações se aplicaram perfeitamente.

     

    Cenário 2

    1 -Criado usuário ti 333, o qual é membro de um grupo:

    G_tecnologia_dep_M  (ou seja, usuário terá acesso a pasta Departamental com direitos de modificação, porém com restrições.

    4 – Na pasta Departamental,  uma vez a herança já quebrada , apenas dei permissões NTFS para  departamental_M ,com as seguintes configurações:

     

     

    Porque this folders only e sem flags em deleção de pastas?

    Resposta:Não queremos que nosso amigo delete a própria Departamental ou crie pastas dentro dela .

     

    À partir daqui já me deparo com o primeiro problema:

    Quando realizo login com o usuário ti 333 e acesso Departamental, dentro da mesmal não consigo criar pastas!A mensagem de erro é a seguinte: Não é possível criar a pasta “Nova Pata”.O sistema não pode encontrar o arquivo especificado)E tem mais, dentro dela há alguns arquivos TXT de teste que não consigo visualizar.

    Com é possível, sendo que deleguei a permissão?

    This folder only, ou seja, somente para esta pasta (Departamental) o usuário poderá criar pastas e arquivos.

    Nota: No AD o usuário faz parte somente do grupo  departamental_M

     

     

     

    quinta-feira, 20 de outubro de 2011 16:29
  • Rafael,

    Realizei um ambiente com as configurações que você citou e encontrei comente um problema. As permissões NTFS foram aplicadas. O único problema foi a permissão de compartilhamento para Everyone 'somente-leitura'. Você deve configurar a permissão de compartilhamento para 'Modificar' e realizar as restrições nas permissões NTFS.

    Ainda estou confuso com seu ambiente. Você teve algum sucesso?


    Rafael Araújo - MCSA | MCITP: SA | MCITP: EA | MCITP:EMA 2010 | MCT | ITILv3
    • Marcado como Resposta Richard Juhasz quinta-feira, 3 de novembro de 2011 18:19
    segunda-feira, 31 de outubro de 2011 11:51
  • Você já verificou as permissões efetivas?

    Botão Direito --> Propriedades --> Segurança --> Avançado --> Permissões efetivas.

     

    Abraços.

    • Marcado como Resposta Richard Juhasz quinta-feira, 3 de novembro de 2011 18:19
    segunda-feira, 31 de outubro de 2011 15:29
  • Como temos dois Rafaeis vou devo direcionar a pergunta pelo sobrenome

    R. Araújo,

    Eu tenho um problema muito parecido com o do R. Carvalho, só que mais grave.

    - Tenho um compartilhamento onde a permissão efetiva mostra que o usuário não tem acesso nenhum, nenhum dos quadrinhos de permissões fica marcado, porém ele acessa sem restrições.

    - E outro mais grave ainda, os compartilhamentos administrativos estão acessíveis para todos os usuários. C$, D$. Tudo qualquer usuário mesmo que não seja membro de nenhum grupo administrador consegue acesso. Basta ser membro do "Usuários do domínio"

    Alguém pode me explicar o que acontece aqui? Parece que as restrições do NTFS estão sendo simplesmente ignoradas.

    E olha.. já fiz muitos testes, só consigo pensar que o NTFS esteja corrompido, ou tenha algum bug nesse servidor. Inclusive já passei o CHKDSK sem sucesso também.

    To aceitando qualquer tipo de bruxaria pra resolver isso...

    Fico muito grato se alguém tiver sugestões.

    Obrigado.

    segunda-feira, 21 de maio de 2012 02:41
  • Pessoal,

    Resolvi meu problema. Testei o acesso ao servidor de outro computador com o mesmo usuário e as permissões funcionavam adequadamente. Então tentei apagar o perfil do usuário na máquina, mas não resolveu. Então eu removi a máquina do domínio e coloquei novamente. Ai voltar a funcionar as permissões conforme configurado no NTFS.

    Talvez o mesmo ou algo parecido resolva para o seu problema R. Carvalho.

    segunda-feira, 21 de maio de 2012 05:56
  • Ola pessoal, td bem?

    Estamos com um problemão aqui no trabalho, impossibilitando a implementação de nosso servidor.

    Ambiente:

    Acount teste222 adicionado ao Grupo Global G_Departamenta_L

    G_Departamental_L como membro de do Grupo Local DL_Depatamental_L

     Uma pasta (denominada departamental) foi compartilhada  na rede para all users (read only), e nas permissões NTFS, na opção PERMISSION ENTRY FOR DEPARTAMENTAL selecionei apenas as Opções: Traverse folder, List forder, read atributes, read extended atributtes e read permission.

     O problema é que testando as configurações aplicadas com o acount teste, nosso amigo teste 222 conseguiu alterar as permissões da pasta, podendo inclusive clicar em Full Control e usufruir da permissão!!!!

    A questão é:

    Como é possível, sendo que a opção CHANGE PERMISSION não está selecionado?????

    HELP! pois devido a este conflito nosso projeto esta parado!!

    Rafael

    Estou com o mesmo problema que o seu aonde estou usando um w08r2 como FS, vc conseguiu a solução?


    domingo, 17 de junho de 2012 23:10
  • Ola Eduardo.

    É possivel que ele seja o owner da pasta? ou esta em outro grupo com privilegios de administrador?

    Att,


    Danilo A. Gomes


    • Editado DaniloFRC sexta-feira, 22 de junho de 2012 20:52
    sexta-feira, 22 de junho de 2012 20:52