none
разрешения для перенаправленных папок RRS feed

  • Вопрос

  • создал политику перенаправления папки Мои документы на сетевой ресурс.
    разрешения и права nfts выставил в сответствии с рекомендациями Майкрософт http://support.microsoft.com/kb/274443/ru
    На клиентской машине получил ошибку Folder Redirection 112 (неверный дескриптор...)
    Нагуглил совет выставить полный доступ для группы "Все" в разрешениях общего доступа и правах ntfs - помогло, но теперь пользователи могут гулять по чужим "Моим документам". А нужно оставить такую возможность только для админа домена(резервное копирование).
    Что делать? Может отключить наследование? Если да, то как: оставить унаследованные права или стереть?
    12 февраля 2010 г. 9:06

Ответы

  • Отключить наследование на корневую папку, содержащую папки пользователей. Разрешения скопировать и расставить затем вручную или скриптом. В приведенной Вами статье описана правильная система раздачи прав (особое внимание надо обратить на объект к которому применяются права). Тогда для всех будет право на создание каталогов на общем ресурсе и затем полные права (как у создателя) на свою папку.
    Относительно прав администратора посмотрите статью
    http://technet.microsoft.com/ru-ru/library/cc781907(WS.10).aspx
    "Вкладка Параметры диалогового окна свойств каждой папки содержит флажок Предоставить права монопольного доступа к папке «Мои документы». Если установить данный флажок, пользователь и локальная система получат полный контроль над папкой, и никто другой, включая администраторов, не будет иметь на нее никаких прав. Если этот параметр отключен, то разрешения для папки не изменяются. Используются разрешения, применяемые по умолчанию."
    Наследование прав Администратора лучше установить на уровне корневой папки.

    • Помечено в качестве ответа alex_ritm83-2 13 февраля 2010 г. 11:08
    12 февраля 2010 г. 9:17
    Модератор

Все ответы

  • Покажите, как точно у вас устроена система каталогов; куда точно перенаправлена папка; какие точно сейчас там права.
    12 февраля 2010 г. 9:10
    Отвечающий
  • Так разрешение для группы "все" нужно было применять "только для этой папки"
    Покажите вывод команды cacls c:\ваша_расшаренная_папка

    12 февраля 2010 г. 9:12
    Отвечающий
  • Отключить наследование на корневую папку, содержащую папки пользователей. Разрешения скопировать и расставить затем вручную или скриптом. В приведенной Вами статье описана правильная система раздачи прав (особое внимание надо обратить на объект к которому применяются права). Тогда для всех будет право на создание каталогов на общем ресурсе и затем полные права (как у создателя) на свою папку.
    Относительно прав администратора посмотрите статью
    http://technet.microsoft.com/ru-ru/library/cc781907(WS.10).aspx
    "Вкладка Параметры диалогового окна свойств каждой папки содержит флажок Предоставить права монопольного доступа к папке «Мои документы». Если установить данный флажок, пользователь и локальная система получат полный контроль над папкой, и никто другой, включая администраторов, не будет иметь на нее никаких прав. Если этот параметр отключен, то разрешения для папки не изменяются. Используются разрешения, применяемые по умолчанию."
    Наследование прав Администратора лучше установить на уровне корневой папки.

    • Помечено в качестве ответа alex_ritm83-2 13 февраля 2010 г. 11:08
    12 февраля 2010 г. 9:17
    Модератор
  • Так разрешение для группы "все" нужно было применять "только для этой папки"
    Покажите вывод команды cacls c:\ваша_расшаренная_папка

    DOMAIN\admin:(OI)(CI)F
                     BUILTIN\Users:(OI)(CI)C
                     DOMAIN\admin:F
                     СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ:(OI)(CI)(IO)F
                     BUILTIN\Administrators:(OI)(CI)F
                     NT AUTHORITY\SYSTEM:(OI)(CI)F
                     DOMAIN\admin:F
                     СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ:(OI)(CI)(IO)F
                     BUILTIN\Users:(OI)(CI)R
                     BUILTIN\Users:(CI)(специальный доступ)

                                       FILE_APPEND_DATA
     
                     BUILTIN\Users:(CI)(специальный доступ)

                                       FILE_WRITE_DATA
    12 февраля 2010 г. 9:32

  • разрешения и права nfts выставил в сответствии с рекомендациями Майкрософт http://support.microsoft.com/kb/274443/ru

    Что-то незаметно.
    Советую последовать рекомендациям
    12 февраля 2010 г. 9:39
    Отвечающий
  • Покажите, как точно у вас устроена система каталогов; куда точно перенаправлена папка; какие точно сейчас там права.
    user_profiles - папка, расшаренная по сети
    при входе пользователя создается user_profiles\username\Документы - username\
    12 февраля 2010 г. 9:43
  • привёл устаревшие данные, виноват.
    пытаюсь дать полные права ntfs пользователю СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ, после нажатия "Применить" все флажки скидываются, прав никаких ему не дается ((
    12 февраля 2010 г. 9:52
  • Давайте новый вывод команды. А лучше скиншотик окна "дополнительно" вкладки "безопасность" вашей расшаренной папки
    И вывод команды net share ваша_шара
    12 февраля 2010 г. 9:57
    Отвечающий
  • http://i080.radikal.ru/1002/a4/6446454874e3.bmp

    на фото маркером скрыто название домена
    mars2 - это domain admin



    net share user_profiles$

    Все, FULL
    DOMAIN\Пользователи домена, FULL
    12 февраля 2010 г. 10:14
  • Так сделайте как в статье - что там для вас непонятно?
    12 февраля 2010 г. 10:27
    Отвечающий
  • создал политику перенаправления папки Мои документы на сетевой ресурс.
    разрешения и права nfts выставил в сответствии с рекомендациями Майкрософт http://support.microsoft.com/kb/274443/ru
    На клиентской машине получил ошибку Folder Redirection 112 (неверный дескриптор...)
    Нагуглил совет выставить полный доступ для группы "Все" в разрешениях общего доступа и правах ntfs - помогло, но теперь пользователи могут гулять по чужим "Моим документам". А нужно оставить такую возможность только для админа домена(резервное копирование).
    Что делать? Может отключить наследование? Если да, то как: оставить унаследованные права или стереть?
    а может просто предоставить права монопольного доступа к Моим документам? Даже при выставленных полных разрешениях для группы "Все" кто попало туда не залезет (и админ домена тоже), а архивировать user_profiles от имени учетки LOCAL SYSTEM
    12 февраля 2010 г. 10:34
  • Так сделайте как в статье - что там для вас непонятно?
    получаю ошибку Folder Redirection 112 (неверный дескриптор...), пока не выставлю для группы "Все" полный доступ в разрешениях ntfs.

    Немного запутался, завтра прийду, сделаю всё заново, пока пользователей в сети нет и отпишусь.
    Поторопился малость с реализацией на продакшн-сервере.
    12 февраля 2010 г. 10:42
  • Всё получилось!
    Последовательность действий:
    Создал папку user_profiles
    Открыл сетевой доступ, группе "Все" дал полный доступ к сетевому ресурсу
    В разрешениях NTFS на user_profiles  - Дополнительно:
    -  снял галку "Рарешить наследование разрешений..." (с копированием)
    - группам СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ, Система, Администраторы домена, Все     раздал разрешения в соответствии с http://support.microsoft.com/kb/274443/ru

    Как я понял, проблему создавало наследование прав и неверное указание NTFS разрешений для группы Все (нужно было применять "только для этой папки")
    13 февраля 2010 г. 8:01
  • а квоты могу настроить? R2 не установлен
    13 февраля 2010 г. 8:03
  • Все правильно.  Основная "хитрость" именно в выборе области применения для разрешений безопасности.
    Относительно квот посмотрите:
    http://technet.microsoft.com/en-us/library/cc786220(WS.10).aspx
    Жаль, что нет R2. Там появился FSRM, сильно упрощающий работы с файловым сервером.

    13 февраля 2010 г. 12:02
    Модератор
  • квоты настроил через mmc - Управление компьютером. Это всего лишь бекап-сервер, тут и без R2 пойдет.

    Всем спасибо!
    15 февраля 2010 г. 4:07