none
Доступ к папкам пользователей RRS feed

  • Вопрос

  • WinServer2003. Терминальные сервера. Есть расшаренная папка, где хранятся папки с документами пользователей. У каждого пользователя своя папка, по логинам. В терминале пользователь видит ее как папку Мои документы. К этим папкам можно добраться и с обычного PC. Адрес примерно такой \\IPсервера\расшаренная_папка\логин_пользователя\мои_документы - создал ярлык, ввел логин пароль и все ок работаешь со своими документами. Как бы все классно и безопасно так как никто твой логин пароль не знает и соответственно не зайдет. НО обнаружил такую дырищу. Если ты зашел в СВОЮ папку (а как же, ты же логин пароль знаешь свои) а после в адресе изменил логин_пользователя  на какой нить чужой то система не пикнув тебя пропустит в эту папку!!! Беспредел! Вот.. В чем прикол? это у меня руки кривые или у системы? как пофиксить подскажите плз.
    13 февраля 2009 г. 13:59

Ответы

  •  Да

    • R — чтение
    • C — изменение (запись)
    • F — полный доступ
    • P — изменение разрешений (особый доступ)
    • O — смена владельца (особый доступ)
    • X — запуск (особый доступ)
    • E — чтение (особый доступ)
    • W — запись (особый доступ)
    • D — удаление (особый доступ)
  • IO: Inherit Only (только наследование) — данный элемент управления доступом не применяется к текущему объекту.
  • CI: Container Inherit (наследование контейнерами) — данный элемент управления доступом наследуется контейнерами более низкого уровня.
  • OI: Object Inherit (наследование объектами) — данный элемент управления доступом наследуется файлами более низкого уровня.
  • NP: Non-Propagate (не распространять) — объект более низкого уровня не передает дальше унаследованный элемент управления доступом.

  •  


    MCP, http://danshin.ms

  • Помечено в качестве ответа Воланд 13 февраля 2009 г. 15:06
13 февраля 2009 г. 14:43
Модератор

Все ответы

  •  Запостите сюда результат выполнения команды
    cacls папка-логин_пользователя
    13 февраля 2009 г. 14:06
    Отвечающий
  •  Возможно права наследуются через участие в группе. Просмотр Effective Permission поможет вам определить это.
    MCP, http://danshin.ms
    13 февраля 2009 г. 14:08
    Модератор
  •  Даже не надо никакого cacls, и так понятно, что как минимум право на чтение дано всем, кому ни попадя =)
    Правьте разрешения NTFS.
    http://komatozo.blogspot.com
    13 февраля 2009 г. 14:09
  • На примере моей папки. 
    cacls f:\phantom\a.kuprienko
    f:\phantom\a.kuprienko BUILTIN\Users:(OI)(CI)C
                           BBCUA\a.kuprienko:C
                           СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ:(OI)(CI)(IO)C
                           BUILTIN\Administrators:(OI)(CI)F
                           NT AUTHORITY\SYSTEM:(OI)(CI)F
                           BBCUA\a.kuprienko:F
                           СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ:(OI)(CI)(IO)F

    Группа USERS в AD - там несколько человек в ней, в основном админы домена. Пользователи находятся в группе 1С_USERS
    13 февраля 2009 г. 14:15
  • Cервер с папками пользователей рядовой или DC?
    13 февраля 2009 г. 14:24
    Отвечающий
  • Сервер BDC. Вспомогательный контроллер домена 
    13 февраля 2009 г. 14:27
  • покопался с Effective Permission - все таки похоже права наследуются из группы BUILTIN\Users:(OI)(CI)C
    Если я удалю права этой группы, не удалятся ли права "законные" у всех пользователей?
    13 февраля 2009 г. 14:41
  •  Да

    • R — чтение
    • C — изменение (запись)
    • F — полный доступ
    • P — изменение разрешений (особый доступ)
    • O — смена владельца (особый доступ)
    • X — запуск (особый доступ)
    • E — чтение (особый доступ)
    • W — запись (особый доступ)
    • D — удаление (особый доступ)
  • IO: Inherit Only (только наследование) — данный элемент управления доступом не применяется к текущему объекту.
  • CI: Container Inherit (наследование контейнерами) — данный элемент управления доступом наследуется контейнерами более низкого уровня.
  • OI: Object Inherit (наследование объектами) — данный элемент управления доступом наследуется файлами более низкого уровня.
  • NP: Non-Propagate (не распространять) — объект более низкого уровня не передает дальше унаследованный элемент управления доступом.

  •  


    MCP, http://danshin.ms

  • Помечено в качестве ответа Воланд 13 февраля 2009 г. 15:06
13 февраля 2009 г. 14:43
Модератор
  • Удалил права. Вроде все ок пока) Спасибо
    13 февраля 2009 г. 15:06