none
Windows Server 2012 Общая папка, запрет на изменение корневой папки RRS feed

  • Вопрос

  • Добрый день.

    Проблемка следующая - иметься Кластерная общая папка(Share). В ней есть папки отделов(folder1,folder2).Не получаеться сделать так, чтоб пользователи не могли изменять(или создавать) папки в Share. При это внутри своих папок (folder1,folder2) они должны делать что хотят

    23 января 2015 г. 11:31

Ответы

  • На D:\Share вы заходите в безопасность и устанавливаете рид для Пользователи домена, только для этой папки без наследования

    Заходите в настройки шары и выбираете "Пользователи домена" полный доступ

    D:\Share\folder1 заходите в безопасность и устанавливаете нужные права (например Read\Write) для группы folder1

    D:\Share\folder2 заходите в безопасность и устанавливаете нужные права (например Read\Write) для группы folder2

    и так далее

    В итоге все пользователи смогут зайти в шару \\server\share но создать не смогут ничего

    зато пользователи из группы folder1 смогут зайти в свою папку создать, удалить файлы...

    пользователи из группы folder2 смогут зайти в свою папку создать, удалить файлы...

    Более детально можно почитать в интеренте по запросу "права ntfs"

    • Помечено в качестве ответа NotGift 30 января 2015 г. 8:26
    23 января 2015 г. 15:05
    Модератор

Все ответы

  • Здравствуйте,

    Опишите вопрос по подробнее:
    1) пользователи находятся в AD?
    2) данные отделы разделены по группам (organization unit ) в AD?


    Best Regards, Andrei ...
    Microsoft Certified Professional


    • Изменено SQxModerator 23 января 2015 г. 11:50 update
    23 января 2015 г. 11:49
    Модератор
  • 1) да

    2) да



    независимо от того какие атрибуты выставляю в первой вкладке! если во второй (ставлю чтение) то никто кроме админов ниче поменять и сохранить не может если изменение то все могут

    • Изменено NotGift 23 января 2015 г. 12:00
    23 января 2015 г. 11:54
  • Проще реализовать, если есть группа , которая включается в себя все отделы.

    Как вариант, самое простое во вкладке Security корневого каталога share устанавливаете только для чтения, чтения списка содержимого, далее каталогам отделов во вкладке Security устанавливается полные права при этом удаляете общую группу, если планируется чтобы никто из других отделов не смог просматривать каталоги не своих отделов.

    Важно в каталогах отделов нужно запретить наследовать права предыдущего каталога, т.е. снять галочку "Добавлять разрешения, наследуемые от родительских объектов" при этом скопировав прав и изменить их как требуется.

    При этом в настройках share можете установить для общей группы полные права.

    Проверьте, если работает как требовалось Вам и сообщите результат.


    Best Regards, Andrei ...
    Microsoft Certified Professional


    • Изменено SQxModerator 23 января 2015 г. 12:07 update
    23 января 2015 г. 12:04
    Модератор
  • а что во второй вкладке? если я там не указываю пользователей никто не видит(

    да и только ща дошло группы безопасности у меня не OU

    • Изменено NotGift 23 января 2015 г. 12:41
    23 января 2015 г. 12:10
  • а что во второй вкладке? если я там не указываю пользователей никто не видит(
    нужно установить полные права для группы которая включает все отделы. И проверьте если все работает под конкретными пользователями из различных отделов.

    Best Regards, Andrei ...
    Microsoft Certified Professional

    23 января 2015 г. 12:16
    Модератор
  • Вы про 2012? дело в том что если во второй вкладке "Общая папка" не будут указаны "пользователи домена " ни у кого доступа к ресурсу не будет. по ощущениям получается что чтобы я не назначал в закладке "разрешения" приоритет имеет именно "общая папка" -а там атрибуты: изменить и чтение
    23 января 2015 г. 12:54
  • Вы про 2012? дело в том что если во второй вкладке "Общая папка" не будут указаны "пользователи домена " ни у кого доступа к ресурсу не будет. по ощущениям получается что чтобы я не назначал в закладке "разрешения" приоритет имеет именно "общая папка" -а там атрибуты: изменить и чтение

     - Да. Вы же уточнили, что пользователи находятся в домене и что они разделены на группы.

    Так зачем добавлять пользователей, если можно добавить группу к которой они принадлежат?

    P.S. возможно я чего-то не так понял.


    Best Regards, Andrei ...
    Microsoft Certified Professional

    23 января 2015 г. 12:59
    Модератор
  • я уточнил что не OU. а группы безопасности. так же 2012 а не 2012 р2

    и так же уточнил что если во 2 вкладке не выбрать (пользователи домена) пробовал всякие группы,

    то ресурс становиться не доступен. И что изменения в 1 вкладке (Безопасность) не влияют по факту.


    • Изменено NotGift 23 января 2015 г. 13:11
    23 января 2015 г. 13:10
  • На D:\Share вы заходите в безопасность и устанавливаете рид для Пользователи домена, только для этой папки без наследования

    Заходите в настройки шары и выбираете "Пользователи домена" полный доступ

    D:\Share\folder1 заходите в безопасность и устанавливаете нужные права (например Read\Write) для группы folder1

    D:\Share\folder2 заходите в безопасность и устанавливаете нужные права (например Read\Write) для группы folder2

    и так далее

    В итоге все пользователи смогут зайти в шару \\server\share но создать не смогут ничего

    зато пользователи из группы folder1 смогут зайти в свою папку создать, удалить файлы...

    пользователи из группы folder2 смогут зайти в свою папку создать, удалить файлы...

    Более детально можно почитать в интеренте по запросу "права ntfs"

    • Помечено в качестве ответа NotGift 30 января 2015 г. 8:26
    23 января 2015 г. 15:05
    Модератор
  • Вы так и не сказали мне ничего по поводу 2закладки(Общая папка)-еще раз если там у меня не выбраны - "пользователи домена" то доступ к шаре никто не имеет.
    27 января 2015 г. 13:30
  • настраивать права нужно и там и там...

    общая папка оставьте пользователи домена - изменение.. более тонко права будут рулится NTFS разрешениями в первой вкладке


    • Изменено Svolotch 27 января 2015 г. 13:40
    27 января 2015 г. 13:40
  • Вы так и не сказали мне ничего по поводу 2закладки(Общая папка)-еще раз если там у меня не выбраны - "пользователи домена" то доступ к шаре никто не имеет.

    Я пошагово описал ВСЕ этапы в том числе и вторую закладку, цитата: "Заходите в настройки шары и выбираете "Пользователи домена" полный доступ"

    Это как раз и есть вторая закладка (попробуйте проделать описанное), и в случае возникновения каких то непоняток напишите что конкретно у вас не получилось

    На ютубе есть пошаговые инструкции как создать шару, как настроить права, стоит только поискать

    27 января 2015 г. 14:23
    Модератор
  • Разрешите вклиниться в дискуссию со своим вопросом, так как он смежный :)

    Подобную задачу я у себя решал в обратном направлении - дав права на чтение\запись в smb и ntfs  корневой папке (share) всем пользователям домена, и убрав наследования от нее в некоторых дочерних (выставив там только права тех групп, кому можно), т.к. обычно есть еще дочерняя папка "ололо-омбенник" куда должны записывать\удалять все пользователи.

    Но не в этом суть. Сейчас планирую создать новый обменник, но чуть более сложной структуры - с филиалами. Грубо говоря - есть 10 филиалов организации с одинаковыми подразделениями. На обменнике должны быть общие папки куда могут читать и записывать только сотрудники одноименного подразделения, и общие папки для обмена между подразделениями. А т.к. подразделений тоже не мало, то сбрасывать наследования у такого количества папок и задавать все разрешения вручную не только геморно, но еще и чревато будущими проблемами при перенастройке. Усугубляет ситуацию, что структура папок обменника должна повторять структуру DFS (т.е. разбивка корневой папки не по подразделениям, а по филиалам, куда идет репликация их папки). Может у кого-нибудь получилось реализовать такое без удаления разрешений наследования, или найдя тонкую грань между grant\deny ntfs permissions?

    27 января 2015 г. 18:07
  • Разрешите вклиниться в дискуссию со своим вопросом, так как он смежный :)

    Подобную задачу я у себя решал в обратном направлении - дав права на чтение\запись в smb и ntfs  корневой папке (share) всем пользователям домена, и убрав наследования от нее в некоторых дочерних (выставив там только права тех групп, кому можно), т.к. обычно есть еще дочерняя папка "ололо-омбенник" куда должны записывать\удалять все пользователи.

    Но не в этом суть. Сейчас планирую создать новый обменник, но чуть более сложной структуры - с филиалами. Грубо говоря - есть 10 филиалов организации с одинаковыми подразделениями. На обменнике должны быть общие папки куда могут читать и записывать только сотрудники одноименного подразделения, и общие папки для обмена между подразделениями. А т.к. подразделений тоже не мало, то сбрасывать наследования у такого количества папок и задавать все разрешения вручную не только геморно, но еще и чревато будущими проблемами при перенастройке. Усугубляет ситуацию, что структура папок обменника должна повторять структуру DFS (т.е. разбивка корневой папки не по подразделениям, а по филиалам, куда идет репликация их папки). Может у кого-нибудь получилось реализовать такое без удаления разрешений наследования, или найдя тонкую грань между grant\deny ntfs permissions?

    Это вопрос все же несколько иного характера, чем просто сздание шары с директориями с различными правами, это миграция одной структуры в другую

    Что касается сохранения прав то Тотал коль не ошибаюсь умеет переносить ацл с одного расположения на новое при копировании (нужно перепроверить но вроде бы такая возможность есть) либо скрипту можно написать на робокопи для переноса, но при использовании скрипта нужно четко понимать что и куда поедет. так как может получится ситуация когда отдел бухгалтерии из 1 регионального подразделения окажется в отделе секретариата другого регионального подразделения

    27 января 2015 г. 20:55
    Модератор
  • Спасибо все получилось!
    30 января 2015 г. 8:26
  • В итоге в чем была ошибка, в случае если кто-нибудь обратиться с подобной проблемой, могли обратить внимание на Ваши рекомендации.

    Best Regards, Andrei ...
    Microsoft Certified Professional

    30 января 2015 г. 8:29
    Модератор