none
Доступ на запись к вложенной папке общего ресурса. RRS feed

  • Вопрос

  • Добрый день!

    Есть w2k3 c ролью файлового сервера, есть общая папка и есть пользователь test которому можно читать содержимое этой папки, но писать он может только в одну папку с глубиной вложения 4 к примеру.

    Попытки назначить пользователю test права на чтение шары, и записи на нужную папку с помощью ntfs не дают результата - пользователь может только читать папку, а писать не может.

    Как это сделать?

    18 августа 2011 г. 6:16

Ответы

  • Вообщем, сделал так:

    Поставил на шару доступ на запись пользователю, запретил запись для шары этому пользователю на уровне NTFS, для результирующей папки удалил наследование и явно указал нужные разрешения.

    Что скажете? Так оно и должно выглядеть?


    Нет.
    Правильнее будет обойтись без явных запретов
    1. Права на шару change для этого пользователя
    2. Права ntfs на чтение для этого пользователя на расшаренную папку
    3. Отменить наследование для нужной папки и дать пользователю право на запись
    4. Вместо пользователя следует использовать группу AD для назначения разрешений, а пользователя затем в группу добавить.

    18 августа 2011 г. 10:24
    Отвечающий
  • Абсолютно отрицаю "да". НЕТ.

    Запреты следует использовать исключительно в ситуациях, когда это действительно необходимо. И это ещё нужно уметь делать корректно. В данной ситуации, такой необходимости нет. И пункт третий тоже лишний, отменять наследование ни к чему, достаточно просто расширить имеющиеся права до Modify. Наследование отменяйте там, где следует отменить и Чтение тоже.


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA
    • Помечено в качестве ответа ПавелБ 13 января 2012 г. 7:56
    19 августа 2011 г. 7:23
    Отвечающий

Все ответы

  • Права на share должны отражать максимально доступные где-либо внутри share пользователю привилегии. То есть, если он где-либо должен иметь право на Запись, то на share он должен иметь не менее, чем Change. Дальше внутри уже всё регулируется с помощью NTFS.
    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA
    18 августа 2011 г. 6:55
    Отвечающий
  • Вообщем, сделал так:

    Поставил на шару доступ на запись пользователю, запретил запись для шары этому пользователю на уровне NTFS, для результирующей папки удалил наследование и явно указал нужные разрешения.

    Что скажете? Так оно и должно выглядеть?

    18 августа 2011 г. 7:10
  • Вообщем, сделал так:

    Поставил на шару доступ на запись пользователю, запретил запись для шары этому пользователю на уровне NTFS, для результирующей папки удалил наследование и явно указал нужные разрешения.

    Что скажете? Так оно и должно выглядеть?


    Нет.
    Правильнее будет обойтись без явных запретов
    1. Права на шару change для этого пользователя
    2. Права ntfs на чтение для этого пользователя на расшаренную папку
    3. Отменить наследование для нужной папки и дать пользователю право на запись
    4. Вместо пользователя следует использовать группу AD для назначения разрешений, а пользователя затем в группу добавить.

    18 августа 2011 г. 10:24
    Отвечающий
  • )))))

    и вот не лень было это писать? каюсь, мне проще сказать "да", чем в сотый раз цитировать бест практисес

    18 августа 2011 г. 10:40
  • )))))

    и вот не лень было это писать? каюсь, мне проще сказать "да", чем в сотый раз цитировать бест практисес


    Бывало и хуже : )
    Это так - пара строк, по мелочи : )
    18 августа 2011 г. 10:47
    Отвечающий
  • Абсолютно отрицаю "да". НЕТ.

    Запреты следует использовать исключительно в ситуациях, когда это действительно необходимо. И это ещё нужно уметь делать корректно. В данной ситуации, такой необходимости нет. И пункт третий тоже лишний, отменять наследование ни к чему, достаточно просто расширить имеющиеся права до Modify. Наследование отменяйте там, где следует отменить и Чтение тоже.


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA
    • Помечено в качестве ответа ПавелБ 13 января 2012 г. 7:56
    19 августа 2011 г. 7:23
    Отвечающий
  • И пункт третий тоже лишний, отменять наследование ни к чему, достаточно просто расширить имеющиеся права до Modify. Наследование отменяйте там, где следует отменить и Чтение тоже.


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA

    Точно так ! Только, думаю, не лишний, а любезно вами поправленный
    19 августа 2011 г. 8:24
    Отвечающий
  • Подниму тему:

    Есть домен 2003 R2, файловый сервер 2008 R2.

    На файловом сервере папка All расшарена для "Пользователи домена" - Чтение / Изменение. NTFS - "Для этой папки, её подпапок и файлов" - "Содержание папки / чтение данных". Далее на каждую вложенную папку розданы права на уровне NTFS. Но есть внутри папка "Test" и в ней папка "1". Для группы пользователей нужен полный доступ на папку "1" - остальные пользователи домена не имеют туда доступа. Для "Test" ставлю NTFS "Пользователи домена" - "Только для этой папки" - "Содержание папки/чтение данных"+"Чтение атрибутов"+"Чтение дополнительных атрибутов"+"Чтение разрешений". Для папки "1" -  "Для этой папки, её подпапок и файлов"- полный доступ этой группе.

    Итог: Все видят внутри All что им нужно,  но все также видят папку "TEST" - правда видят пустую и ничего создать/удалить не могут. Но они вообще не должны её видеть!

    Вопрос: как правильно открыть доступ на папку "\\All\Test\1" одной группе, так что бы остальные не видели папку "\\All\Test" - и их не мучал интерес - а что же там?)

    7 сентября 2012 г. 14:00
  • Ответ: использовать Access-based Enumeration
    7 сентября 2012 г. 16:09
  • Не упомянул выше, Access-based Enumeration использую. Иначе все бы видели весь список из более чем 100 папок.

    Проблемка именно в том, что если нужно дать более привилигированный доступ на оду из вложенных папок, то родительская становиться видна всем (хоть внутри и ничего не видят). Если же убираю хоть один из доступов к "\\All\Test" (NTFS "Пользователи домена" - "Только для этой папки" - "Содержание папки/чтение данных"+"Чтение атрибутов"+"Чтение дополнительных атрибутов"+"Чтение разрешений"), то не получается дать доступ на "\\All\Test\1".

    Так что Вопрос: "Как правильно открыть доступ на папку "\\All\Test\1" одной группе, так что бы остальные не видели папку "\\All\Test"?" оставляю...

    10 сентября 2012 г. 10:11