none
Разрешения NTFS Traverse Folder RRS feed

  • Вопрос

  • Добрый день. Помогите разобраться с правом  папки Traverse Folder.

    Есть сервер (SERVER). На нем есть общая папка SHARE. Пользователь имеет право на чтение только этой паки, без наследования в низ. В ней есть папки TEST (SHARE\TEST - у пользователя права Traverse Folder, а также чтение атрибутов и разрешений), в папке TEST папкаTEST1 (SHARE\TEST\TEST1-полный доступ на папку и подпапки) и в ней файл TEST.TXT (SHARE\TEST\TEST1\TEST.TXT)

    Если я правильно понимаю смысл Traverse Folder, при обращение по прямой ссылке \\SERVER\SHARE\TEST\TEST1\test.txt, пользователь должен получить доступ к этому файлу.

    У меня такого не получается, при попытке открыть в проводнике данный путь, выдается ошибка «Не удается найти файл…».

    Что я делаю не так, или я неправильно понял смысл Traverse Folder?

Ответы

  • Разрешение Traverse Folder на практике не нужно - по умолчанию все участники безопасности в Windows имеют привилегию Обход перекрёстной проверки, которая заменяет это разрешение (кстати, отключать эту привилегию не рекомендуется: структура имён в Windows - она более сложная, и корнем её является отнюдь не "Мой компьютер", так что могут быть неприятные сюрпризы).

    Другое дело, что Проводник пытается заглянуть в каждую папку на указнном ему пути, а потому требует разрешения на чтение содиржимого папки.

    В нашей практике мы обходили это путём создания ярдыков на нужные папки.


    Слава России!

    3 июня 2014 г. 15:14

Все ответы

  • Traverse Folder при запрете вы не увидите содержимое директории

    Traverse Folder при разрешении увидите содержимое директории (увидите названия файлов, каталогов и пр.)


    Для файлов этот атрибут означает запускать выполняемые файлы
    Модератор
  • Стоит разрешение Traverse Folder. Содержимое директории SHARE\TEST\TEST1 не вижу. Если открывать в проводнике.
  • у вас так же должны быть атрибуты Read attributes и Read permissions
    Модератор
  • List Folder / Read Data
  • Атрибуты Read attributes и Read permissions установлены. И все равно немогу получить доступ через проводник к SHARE\TEST\TEST1. 

    Зачем устанавливать List Folder / Read Data? Тогда пользователь получит доступ на чтение ко всем папкам и файлам дерева (SHARE\TEST в моем примере). А надо как раз ограничить доступ в другие, не разрешенные пользователю папки.

    • Изменено klipp 2 июня 2014 г. 10:01
  • если у пользователя полные права на папку TEST1 + наследование прав на файл test.txt и вы не можете получить доступ то наверное дело в разрешениях на шару.

    Я не очень понимаю, вы хотите что бы пользователь видел доступные для него папки\файлы в TEST или нет? 

    2 июня 2014 г. 10:13
  • Я не очень понимаю, вы хотите что бы пользователь видел доступные для него папки\файлы в TEST или нет? 

    У пользователя полные права на папку TEST1 + наследование прав на файл test.txt. Если я набираю в строке "выполнить" SHARE\TEST\TEST1\TEST.TXT, то файл открывается. Доступ есть, что с Traverse Folder, что без него. Тот же результат при открытие файла или папки TEST1 через ярлык, сохранный на рабочем столе. Если я открываю проводник и указываю путь SHARE\TEST\TEST1\  то выдается ошибка "Не удается найти SHARE\TEST\TEST1. Проверьте правильность пути или адреса в интернете".

    Да я хотел, чтобы пользователь видел доступные для него файлы и папки, или смог открыть доступные папки через проводник. Но при этом не получал доступ к другим папкам (TEST), и не видел файлы и папки в других каталогах, к которым у него нет доступа.

    Как я предполагал Traverse Folder должен дать доступ к каталогу TEST1 при прямом обращение.
    2 июня 2014 г. 12:40
  • Попробуйте такой линк

    http://support.microsoft.com/kb/961658/en-us



    2 июня 2014 г. 15:10
    Модератор
  • ABE, к сожалению,  в этом случае не поможет.
  • выставляйте разрешение List Folder / Read Data на папку TEST и ставьте применение только к папке

    Клиент будет видеть только доступные ему папки.

  • выставляйте разрешение List Folder / Read Data на папку TEST и ставьте применение только к папке


    Клиент будет видеть только доступные ему папки.

    Спасибо за совет.

    Да при включенном ABE, в этом случае пользователь увидит только свою папку TEST1. Но причем здесь Traverse Folder?. Предложенная Вами схема будет работать и без включенного Traverse Folder.

    А если доступ нужен для папки более глубоко уровня вложенности?

    Как говорит Microsoft:

    Право Обход перекрестной проверки позволяет пользователю просматривать папки в файловой системе NTFS или реестра без проверки наличия разрешения специального доступа Обзор папок . Право Обход перекрестной проверки не позволяет пользователю выводить список содержимого папки. Она позволяет пользователю проходить только его.

    И это у меня не получается воспроизвести. Или я, что то не так понимаю.

  • Разрешение Traverse Folder на практике не нужно - по умолчанию все участники безопасности в Windows имеют привилегию Обход перекрёстной проверки, которая заменяет это разрешение (кстати, отключать эту привилегию не рекомендуется: структура имён в Windows - она более сложная, и корнем её является отнюдь не "Мой компьютер", так что могут быть неприятные сюрпризы).

    Другое дело, что Проводник пытается заглянуть в каждую папку на указнном ему пути, а потому требует разрешения на чтение содиржимого папки.

    В нашей практике мы обходили это путём создания ярдыков на нужные папки.


    Слава России!

    3 июня 2014 г. 15:14
  • Разрешение Traverse Folder на практике не нужно - по умолчанию все участники безопасности в Windows имеют привилегию Обход перекрёстной проверки, которая заменяет это разрешение (кстати, отключать эту привилегию не рекомендуется: структура имён в Windows - она более сложная, и корнем её является отнюдь не "Мой компьютер", так что могут быть неприятные сюрпризы).

    Другое дело, что Проводник пытается заглянуть в каждую папку на указнном ему пути, а потому требует разрешения на чтение содиржимого папки.

    В нашей практике мы обходили это путём создания ярдыков на нужные папки.


    Слава России!

    Спаисибо  M.V.V.

    Это уже похоже на правду. По крайней мере мне приходит такая же мысль.

    Хотя фраза Microsoft - позволяет пользователю просматривать папки в файловой системе NTFS или реестра без проверки наличия разрешения специального доступа Обзор папок - конечно очень смутила. И я изначально предположил, что будет доступ по дереву через проводник, не показывая папки с закрытым доступом.

    Только отключение Bypass traverse checking, в политике, не дало изменений на моей тестовой среде. Папки как открывались с ярлыка, так и открываются. Несмотря на выставление Traverse Folder. Хотя тут, может, где то я и ошибся сам, уже.


    • Изменено klipp 4 июня 2014 г. 4:09