none
Разный список действующих разрешений на сервере и на клиенте RRS feed

  • Вопрос

  • Добрый день!

    Столкнулся с такой проблемой - на сервере расшарена общая папка, если на ней посмотреть эффективные разрешения для определенного пользователя, то отобразится правильный набор прав, например только чтение.

    Если открыть эту папку по сети с клиентской машины (WinXP или Win7), то для этого же пользователя на эту же папку эффективные разрешения отобразятся как "Полный доступ".

    Пользователю напрямую права на папку не указаны. пользователь не является членом группы Администраторов сервера.

    Пользователь получает доступ к папке, находясь в группе "пользователи", этой группе на папку даны права только на чтение.

    Вопрос в том - почему возникает противоречие в отображении действующих прав, и как его устранить?

    25 сентября 2012 г. 8:31

Ответы

  • Список получается разный, потому что при оценке разрешений фактически используются разные группы с разным членством. Это касается встроенных групп: (Администраторы, Пользователи и т.д.) - SID у них на всех компьютерах одинаковые, а вот набор членов группы - естественно, разный. Т.к. элементы разрешений содержат именно SID, то код, вычисляющий эффективные разрешения, для проверки членства просто берет группу с нужным SID с того компьютера, на котором выполняется проверка.

    А чтобы устранить, нужно переписать код, вычисляющий эффективные разрешения. Это - к Microsoft. И IMHO вряд ли они будут этим заниматься.


    Слава России!

    25 сентября 2012 г. 12:31

Все ответы

  • скиньте скрины
    25 сентября 2012 г. 8:35
  • Список получается разный, потому что при оценке разрешений фактически используются разные группы с разным членством. Это касается встроенных групп: (Администраторы, Пользователи и т.д.) - SID у них на всех компьютерах одинаковые, а вот набор членов группы - естественно, разный. Т.к. элементы разрешений содержат именно SID, то код, вычисляющий эффективные разрешения, для проверки членства просто берет группу с нужным SID с того компьютера, на котором выполняется проверка.

    А чтобы устранить, нужно переписать код, вычисляющий эффективные разрешения. Это - к Microsoft. И IMHO вряд ли они будут этим заниматься.


    Слава России!

    25 сентября 2012 г. 12:31
  • Хм... интересная гипотеза, коллега. 

    Завтра попробую проверить.

    25 сентября 2012 г. 15:42
  • Да, это правда- ситуация, когда "перебор полномочий" мешает что-то проверить или просмотреть, очень нередкое явление. Об этом нужно всегда помнить.

    26 сентября 2012 г. 5:32
    Отвечающий
  • Пользователь действительно входит в локальную группу "Администраторы" на рабочих станциях.
    26 сентября 2012 г. 14:00