none
DFS и права пользователей RRS feed

  • Вопрос

  • Здравствуйте!

    Давно использую технологию DFS, сейчас возникла задача ограничить доступ юзеров в определённые папки или к определённым файлам. Опишу задачу на примере:

    Есть Юзер1 он создал документ1 и положил в общую_папку и поставил права на файл "только чтение". Остальные юзеры могут только видеть и читать этот файл, но никак не редактировать или удалять.

    или вот еще:

    Есть Юзер2 он выкладывает файлы в общую папку, которая для всех "только чтение", но ему потребовалось дать права на папку юзеру3, чтобы юзер3 внес некоторые изменения.

    Читая книгу Windows Server 2012 Полное руководство(а также где-то на сайте TechNet), я вычитал фразу о том, что в DFS выставляются права на всё пространство имен, а конкретные права выставляются через меню свойства каждой папки/файла. Что я сделал: дал группе ВСЕ полные права, через меню свойства менял права на папку, вне зависимости от прав через свойства, права всегда полные(((. Если дать права группе ВСЕ "только чтение", то опять же, вне зависимости от прав через свойства, права будут только на чтение.

    В обще вопрос: как указать конкретные права, конкретному пользователю?

    31 марта 2014 г. 10:44

Ответы

  • В половину глаза глянул на это по-моему ваш случай
    1 апреля 2014 г. 13:39
  • когда я ставлю на ресурс(имеется ввиду сетевой ресурс, шара) на группу ВСЕ "полные права", то пользователи имеют "полные права", вне зависимо от прав по NTFS, ...

    Неправильно. Действуют наиболее строгие ограничения (пересечение для наборов разрешений NTFS и разрешений на сетевой ресурс).

    А вот для DFS, в случае нескольких активных реплик, Вы просто можете попасть на их (реплик) несогласованность - скажем, поменяли разрешения NTFS для папки на RE на одной реплике, пользователь полез проверять, попал на другую реплику, и может в эту папку писать ...


    S.A.

    1 апреля 2014 г. 14:02

Все ответы

  • Привет,

    Предоставьте право на папку юзеру 1 Full Control и тогда должно получиться


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий. Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.

    1 апреля 2014 г. 5:00
    Модератор
  • Не пойму причем здесь DFS. И не очень понятно чего вы хотите добиться?

    Рулите правами через NTFS-разрешения. Правильно ли я понимаю, что вы хотите чтобы только владелец мог менять свой файл, а остальные могли только читать?

    1 апреля 2014 г. 5:37
  • Мне кажется вам вот Это надо почитать.
    1 апреля 2014 г. 5:38
  • DFS тут действительно не причём))

    Но вот расшарить ресурс нужно по тем условиям, которые я написАл выше.

    Напишу еще раз:

    когда я ставлю на ресурс(имеется ввиду сетевой ресурс, шара) на группу ВСЕ "полные права", то пользователи имеют "полные права", вне зависимо от прав по NTFS, а если ставлю "только чтение"(не запрещая остального), то права на ресурс будут "только чтение", вне зависимо от NTFS прав. У меня есть большая расшаренная папка, в которой юзеры хранят свои доки, в этой папке все имеют полный права и соответственно юзеры не могут защитить свои доки. Задача стоит в том, чтобы юзер сам мог определять права на свои доки.

    1 апреля 2014 г. 12:43
  • эту статью не осилил, читал вот http://technet.microsoft.com/ru-ru/library/cc754178.aspx

    но воз и ныне там((......
    1 апреля 2014 г. 12:45
  • DFS тут действительно не причём))

    Но вот расшарить ресурс нужно по тем условиям, которые я написАл выше.

    Напишу еще раз:

    когда я ставлю на ресурс(имеется ввиду сетевой ресурс, шара) на группу ВСЕ "полные права", то пользователи имеют "полные права", вне зависимо от прав по NTFS, а если ставлю "только чтение"(не запрещая остального), то права на ресурс будут "только чтение", вне зависимо от NTFS прав. У меня есть большая расшаренная папка, в которой юзеры хранят свои доки, в этой папке все имеют полный права и соответственно юзеры не могут защитить свои доки. Задача стоит в том, чтобы юзер сам мог определять права на свои доки.

    Ерунда какая. Права на файл получаются сложением прав.

    Для чтения, должно быть и share и ntfs-permission. Для записи соответственно тоже.

    В вашем случае share-permission должны быть Change иначе никто не сможет писать в папку.

    Дальше NTFS: ставите всем права change, при создании файла "создатель" будет являться владельцем поэтому будет иметь full controll и сможет менять права сам выбирая кому дать доступ.

    P.S. Вы уверены, что такая схема будет работать? Смогут ли ваши пользователи САМИ управлять разрешениями?

    1 апреля 2014 г. 13:24
  • В половину глаза глянул на это по-моему ваш случай
    1 апреля 2014 г. 13:39
  • когда я ставлю на ресурс(имеется ввиду сетевой ресурс, шара) на группу ВСЕ "полные права", то пользователи имеют "полные права", вне зависимо от прав по NTFS, ...

    Неправильно. Действуют наиболее строгие ограничения (пересечение для наборов разрешений NTFS и разрешений на сетевой ресурс).

    А вот для DFS, в случае нескольких активных реплик, Вы просто можете попасть на их (реплик) несогласованность - скажем, поменяли разрешения NTFS для папки на RE на одной реплике, пользователь полез проверять, попал на другую реплику, и может в эту папку писать ...


    S.A.

    1 апреля 2014 г. 14:02
  • А вот для DFS, в случае нескольких активных реплик, Вы просто можете попасть на их (реплик) несогласованность - скажем, поменяли разрешения NTFS для папки на RE на одной реплике, пользователь полез проверять, попал на другую реплику, и может в эту папку писать ...
    И как тогда быть??
    3 апреля 2014 г. 7:13
  • когда я ставлю на ресурс(имеется ввиду сетевой ресурс, шара) на группу ВСЕ "полные права", то пользователи имеют "полные права", вне зависимо от прав по NTFS, ...

    Неправильно. Действуют наиболее строгие ограничения (пересечение для наборов разрешений NTFS и разрешений на сетевой ресурс).

    А вот для DFS, в случае нескольких активных реплик, Вы просто можете попасть на их (реплик) несогласованность - скажем, поменяли разрешения NTFS для папки на RE на одной реплике, пользователь полез проверять, попал на другую реплику, и может в эту папку писать ...


    S.A.

    Это должны быть какие-то бешенные объемы данных. При изменение на одной из реплик NTFS-разрешение, только они реплицируются на другую реплику, не весь файл целиком. То есть если все хорошо настроено, такая ситуация возникать не должна. Если вы меняете на 2 тб папке полностью права NTFS, за ночь оно переедет на другую реплику, проверено на личном опыте. 
    3 апреля 2014 г. 7:18
  • А вот для DFS, в случае нескольких активных реплик, Вы просто можете попасть на их (реплик) несогласованность - скажем, поменяли разрешения NTFS для папки на RE на одной реплике, пользователь полез проверять, попал на другую реплику, и может в эту папку писать ...
    И как тогда быть??
    У вас используется DFS-репликация?
    3 апреля 2014 г. 7:19
  • ... Если вы меняете на 2 тб папке полностью права NTFS, за ночь оно переедет на другую реплику, проверено на личном опыте. 

    Конечно. Но ведь, с достаточно большой вероятностью, результаты изменений проверяются непосредственно после изменений. Если "просто подождать", оно придёт к нужному состоянию, не вопрос.

    S.A.

    3 апреля 2014 г. 10:44