none
PROBLEMATICA - GRUPO X USUARIO X PERMISSOES RRS feed

  • Discussão Geral

  • ola, Tenho um problema de permissão com as pastas no seguinte cenário:

    O mapeamento é feito automático via GPO a todos que logam no domínio, a unidade é a X:\ . 

    Cada pasta contem o grupo que vai acessar com permissões de acesso e grupo que não pode acessar com a permissões negadas.

    heiss.. o meu problema ai..

    Exemplo:  no grupo compras  tem o  Antonio e o Carlos, mas a pasta DOCS o grupo COMPRAS nao pode acessar docs, mas o Antônio pode.

    Se eu coloco o Antonio permitindo o acesso a pasta nao da permissão pois ele ja esta em um grupo que  nega sua permissão.

     sei se fui claro.. .

    Em resumo, preciso permitir um usuário acessar uma pasta, cujo seu grupo esta com acesso negado a ela.

    Caso alguém tenha alguma sugestão melhor..

    OBRIGADO

    Feito em um Windows server std 2016

        GRUPO - AD 
    USUARIO   FINANCEIRO COMPRAS DOCS
    JOAO   x    
    MARIA   x    
    ANTONIO     x  
    CARLOS     x  
    PEDRO       x
    JOSE       x

      PERMISSOES PASTAS
    GRUPO FINANCEIRO COMPRAS DOCS
    FINANCEIRO S N N
    COMPRAS N S N
    DOCS N N S
    Antonio     S


    • Tipo Alterado IgorFKModerator segunda-feira, 24 de setembro de 2018 18:28
    segunda-feira, 24 de setembro de 2018 14:56

Todas as Respostas

  • Bom dia.  Essa permissão (negar) esta explicita ou herdada ?

    Caso esteja herdada de uma pasta anterior, tente dar permissão explicita pra esse usuário.

    Apesar que o conceito negar, precede qualquer permissão. mas sendo explicito você pode ter um sucesso.


    Se útil, por favor Classifique João C.X.Macedo Specialist Platforms Microsoft MCP,MCT,MCSA,MCTS,MCITP, ENTERPRISE VIRTUALIZATION WINDOWS SERVER 2008 R2,MCSE WINDOWS SERVER 2012,MCSA WINDOWS SERVER 2016

    segunda-feira, 24 de setembro de 2018 15:00
  • Ola, Joao

    Obrigado pela resposta

    Eu tentei fazer oq eu vc me explicou, e identifiquei que so pode dar permissão explicita ao um grupo, então adicionei o antonio no grupo DOCS, e dei as permissões explicitas, porem nada aconteceu.

    :(

    alguma outra forma?

    obrigado

    segunda-feira, 24 de setembro de 2018 17:24
  • Qual erro que emite ?

    Se útil, por favor Classifique João C.X.Macedo Specialist Platforms Microsoft MCP,MCT,MCSA,MCTS,MCITP, ENTERPRISE VIRTUALIZATION WINDOWS SERVER 2008 R2,MCSE WINDOWS SERVER 2012,MCSA WINDOWS SERVER 2016

    segunda-feira, 24 de setembro de 2018 18:21
  • Olha, nesse caso creio eu que não ira funcionar, pois a negação sempre prevalecerá, o certo nesse caso seria você não usar grupo nos diretórios que tenham essa condição.
    segunda-feira, 24 de setembro de 2018 19:29
  • não da erro, simplesmente. não acessa
    segunda-feira, 24 de setembro de 2018 20:25
  • qual seria a forma? 

    aguardo.. obrigado
    segunda-feira, 24 de setembro de 2018 20:26
  • o que mais poderia fazer? meu caso não tem solução?

    a ferramenta é limitada assim?

    obrigado

    terça-feira, 25 de setembro de 2018 12:34
  • ola, Tenho um problema de permissão com as pastas no seguinte cenário:

    O mapeamento é feito automático via GPO a todos que logam no domínio, a unidade é a X:\ . 

    Cada pasta contem o grupo que vai acessar com permissões de acesso e grupo que não pode acessar com a permissões negadas.

    heiss.. o meu problema ai..

    Exemplo:  no grupo compras  tem o  Antonio e o Carlos, mas a pasta DOCS o grupo COMPRAS nao pode acessar docs, mas o Antônio pode.

    Se eu coloco o Antonio permitindo o acesso a pasta nao da permissão pois ele ja esta em um grupo que  nega sua permissão.

     sei se fui claro.. .

    Em resumo, preciso permitir um usuário acessar uma pasta, cujo seu grupo esta com acesso negado a ela.

    Caso alguém tenha alguma sugestão melhor..

    OBRIGADO

    Feito em um Windows server std 2016

        GRUPO - AD 
    USUARIO   FINANCEIRO COMPRAS DOCS
    JOAO   x    
    MARIA   x    
    ANTONIO     x  
    CARLOS     x  
    PEDRO       x
    JOSE       x

      PERMISSOES PASTAS
    GRUPO FINANCEIRO COMPRAS DOCS
    FINANCEIRO S N N
    COMPRAS N S N
    DOCS N N S
    Antonio     S


    Marco,

    Como nosso amigo anterior citou, permissões de negação ou mais restritivas prevalecem. 

    No seu caso, você não precisa usar as permissões de negação, pois quando um usuário tentar acessar e ele não possuir acesso aquele arquivo ou diretório , simplesmente receberá erro de acesso negado. Evite usar permissões de Deny.

    Usando o diretório DOCS e o usuário Antonio como exemplo:

    Permissões do diretório DOCS:

    Administradores ou outro grupo criado para administração do FileServer (Full Control)

    CREATOR OWNER, por boa prática eu sempre removo este grupo, pois não quero que usuários sejam proprietários de arquivos ou subdiretórios que eles por acaso criem e que outros devam ter acesso e ai eu tenha que ir lá e tomar posse do arquivo/diretório para ajustar permissões dos mesmos, pois o proprietário pode ajustar as permissões, pois terá full control. Não sendo um diretório que dependa desta permissão como Redirect Folder e diretório base do usuário eu removo.

    Users, por padrão todo Domain User é membro do grupo Users local, para sua correta distribuição de acessos seria bom remover este grupo também, pois você quer segmentar o acesso por grupos específicos.

    Grupo DOCS, você pode criar dois grupos, sendo, DOCS_READ e DOCS_MODIFY, só um exemplo, e concede as permissões de cada grupo, então quem estiver no grupo READ só terá leitura quem estiver no MODIFY poderá atualizar. Evite dar Full Control , pois esta permissão concede também ajuste de permissões.

    SYSTEM, Full Control. caso tenha alguma ferramenta que execute backup ou tarefas agendadas, por boa prática, sempre manter o SYSTEM full control, caso não rode com uma conta especifica, mas por definição mantenha o SYSTEM com acesso total.

    Usuário Antônio estará no grupo DOCS_READ ou DOCS_MODIFY conforme o nível de permissão que ele necessita.

    Fazendo o mesmo para os demais diretórios o usuário Antônio acessará o diretório COMPRAS e diretório DOCS.

    Você pode ainda utilizar uma função chamada Access-based Enumeration , onde os usuários e grupos que não possuem acesso a determinado diretório / arquivos, não visualizam os mesmos.

    Access-based enumeration 

    https://social.technet.microsoft.com/wiki/pt-br/contents/articles/38075.access-based-enumeration-windows-server-200820122016-teoria-e-pratica.aspx

    Leia também sobre a método estratégia para File Server e a técnica AGDLP recomendada pela Microsoft.

    Estratégia para servidor de arquivos

    https://social.technet.microsoft.com/wiki/contents/articles/2653.aspx

    AGDLP


    https://www.youtube.com/watch?v=cO2DBgGYBFE

    https://social.technet.microsoft.com/Forums/pt-BR/98e2db89-332f-48c4-8944-fd3899057feb/praticas-agdlp?forum=winsrv2003pt

    abs,


    Se quiser derrubar uma árvore na metade do tempo, passe o dobro do tempo amolando o machado.




    terça-feira, 25 de setembro de 2018 13:38
    Moderador
  • Conseguiu evoluir no assunto ?

    Se quiser derrubar uma árvore na metade do tempo, passe o dobro do tempo amolando o machado.

    quinta-feira, 27 de setembro de 2018 11:35
    Moderador