none
Доступ к сетевым папкам через ABE RRS feed

  • Вопрос

  • Привет всем!

    сабж: Имеется сервер 2008R2, который в домене AD. Поднимаем DFS пространство, ну или тупо создаем шару папки. В этом пространстве или папке имеется некая структура папок с включенной ABE. Ну например шара \\server\share, а структура папок 1\2\3\4. Во всех папках имеются файлы и другие подпапки, на которые розданы соответствующие разрешения для групп. Тут вдруг неожиданно (а оно всегда так) требуется пользователю доступ на папку 4 (см пример), при этом доступа к папке 1 у него нет(не входит ни в одну из групп для этой папки), ну и как все догадываемся видеть что лежит в папках 1,2 и 3 ему никак нельзя.

    аск: Можно ли это реализовать в принципе? Потому как явными разрешениями на папки мы даем юзеру видеть то, чего не положено.

    3 сентября 2012 г. 13:59

Ответы

  • На 2008R2 у меня это работает. Если делаете ярлык на конечный объект, он доступен сквозь ABE.

    В целом, за это отвечает общесистемное право (User Right) Bypass Traverse Checking. Оно включено для всех по умолчанию.


    Microsoft Certified Trainer; Microsoft Security Trusted Advisor; Cisco Certified Systems Instructor; Certified Ethical Hacker.

    • Помечено в качестве ответа Vinokurov Yuriy 11 сентября 2012 г. 14:40
    4 сентября 2012 г. 6:48
    Отвечающий

Все ответы

  • Насколько мне известно, зайти в папку "4", последовательно пройдя путь из 1/2/3, нельзя - это вам не Netware (

    Можно попасть только сразу указав полный путь до папки, т.е. типа cd \\server\share\1\2\3\4 , при этом должна быть выставлена политика "bypass travers checking" (вроде так называется). Вообще, решение от MS достаточно мутное, ладно хоть сделали ABE, скрывающее лишнее объекты файловой системы, а то и этого не было. Вот Novell давным давно реализовало элегантный подход - сервер автоматом просчитывает разрешения для клиента на объекты ФС. При этом изменения сразу вступают в силу после редактирования ACL вышележащей папки, не надо ждать иногда многочасовой(!) модификации ACL потомков, которые хоть и заявлены, как наследуемые, но реально являются копиями. И это было сделано в 90-х годах для железа, которое сейчас вызовет смех, и там это РАБОТАЛО. Увы, в windows по сей день ничего близко нет, ну кроме ABE.

    Выход из вашего положения есть, он ужасно некрасив, но работает. Для каждой папки в AD создаётся группа, имеющая права на чтение и выполнение с применением "только для этой папки". Каждая такая группа для нижележащего каталога должна входить в аналогичную группу для родительского каталога. Каждая группа, дающая реальные права на каталог, также должна входить в группу прохода (мы так их окрестили) родительского каталога. Благодаря этой убожеской структуре, человек может таки добраться до глубинного каталога, а ABE должно обеспечить невидимость объектов при прохождении.



    • Предложено в качестве ответа Svolotch 3 сентября 2012 г. 14:37
    • Изменено Vasilyev Anton 3 сентября 2012 г. 14:42
    3 сентября 2012 г. 14:35
  • Будете смеяться, но как раз мы и переходим на АД из Новелла, и там очень много прав роздано именно на конечные объекты. Где-то здесь, в одном из обсуждений вычитал, что по АВЕ видится только на один шаг вперед, и это так на самом деле.... Хотелось бы услышать от людей кто уже на практике все это ковырял, ну или на крайний случай стороннее ПО, чтобы не перелопачивать все права на директории.

    Антон вам спасибо за подтверждение моего неутешительного мнения (хотя в глубине души надеялся что как-то это реализуемо:))

    4 сентября 2012 г. 5:20
  • На 2008R2 у меня это работает. Если делаете ярлык на конечный объект, он доступен сквозь ABE.

    В целом, за это отвечает общесистемное право (User Right) Bypass Traverse Checking. Оно включено для всех по умолчанию.


    Microsoft Certified Trainer; Microsoft Security Trusted Advisor; Cisco Certified Systems Instructor; Certified Ethical Hacker.

    • Помечено в качестве ответа Vinokurov Yuriy 11 сентября 2012 г. 14:40
    4 сентября 2012 г. 6:48
    Отвечающий
  • Но все равно вы со мной согласитесь что это "кривой" способ, потому как у пользователя будет куча ярлыков, в которых он обязательно будет путаться, вместо того чтобы пользователь ходил по структуре папок. 
    4 сентября 2012 г. 9:15
  • Это говорит о неправильно составленной карте ресурсов. Неправильно, неверно разнесены документы.


    Microsoft Certified Trainer; Microsoft Security Trusted Advisor; Cisco Certified Systems Instructor; Certified Ethical Hacker.

    5 сентября 2012 г. 15:56
    Отвечающий