none
Разные привилегии для доступа по smb RRS feed

  • Вопрос

  •      Добрый день.

         Столкнулся с такой ситуацией, есть сервер, на нам расшарена папка, например TEST1,  в этой папке создана еще одна, например, TEST2 и тоже расшарена. Папка TEST1 доступна для пользователя только на чтение, а папка TEST2 доступна на запись.

    Если заходить по шаре \\server\TEST1\TEST2 - то папка на запись не доступна, выдает ошибку.

    А если заходить по \\server\TEST2 - то в нее можно записывать.

    С чем это может быть связано, и должно ли так быть?

    6 июля 2017 г. 12:46

Ответы

  •      Добрый день.

         Столкнулся с такой ситуацией, есть сервер, на нам расшарена папка, например TEST1,  в этой папке создана еще одна, например, TEST2 и тоже расшарена. Папка TEST1 доступна для пользователя только на чтение, а папка TEST2 доступна на запись.

    Если заходить по шаре \\server\TEST1\TEST2 - то папка на запись не доступна, выдает ошибку.

    А если заходить по \\server\TEST2 - то в нее можно записывать.

    С чем это может быть связано, и должно ли так быть?

    Права выдаются на уровне шары (как правило выдаются права - всем=все), далее на уровне ntfs и уже там конфигурируется кому что можно, все остальное по умолчанию нельзя (настройка гибкая, может включать в себя наследование, глубину применения и тд.)

    Чую ж. что вы права порезали на уровне шары и да так и должно быть - режте на уровне NTFS если хотите другого поведения


    The opinion expressed by me is not an official position of Microsoft


    6 июля 2017 г. 13:27
    Модератор
  •      Добрый день.

         Столкнулся с такой ситуацией, есть сервер, на нам расшарена папка, например TEST1,  в этой папке создана еще одна, например, TEST2 и тоже расшарена. Папка TEST1 доступна для пользователя только на чтение, а папка TEST2 доступна на запись.

    Если заходить по шаре \\server\TEST1\TEST2 - то папка на запись не доступна, выдает ошибку.

    А если заходить по \\server\TEST2 - то в нее можно записывать.

    С чем это может быть связано, и должно ли так быть?

    Как много вам открытий чудных готовит просвещенья дух!

    В Windows отдельно есть разрешения на доступа к общей папке (т.е. к файлам через имя общей папки, выдаются для  \\SERVER\общая_папка) и разрешения в файловой системе (NTFS обычно) на операции с файлами любым образом (не важно, через сеть или локально). Так вот, для операции с файлом/папкой через общую папку в сети нужно иметь соответствующие разрешения и для доступа к общей папке, и для  файла/папки в файловой системе.

    PS Вообще-то для начального разъяснения таких, базовых, вещей служат учебники и руководства. Форум, в силу своего формата, подходит плохо: на нём длинные тексты редко пишутся и плохо читаются.


    Слава России!

    • Помечено в качестве ответа Vector BCOModerator 27 июля 2017 г. 11:37
    6 июля 2017 г. 13:54
  • Все работает ровно так, как вы и настроили.

    В шару \\server\test1 (C:\Data\Test1)записывать нельзя, поэтому если попасть в \\server\test1\test2 (C:\Data\Test1\Test2), то test2 доступна только для чтения.

    На шару \\server\test2 (C:\Data\Test1\Test2) записывать можно.

    Иными словами расшаренной папке test1 неизвестно о том, что вложенная в нее папка test2 тоже расшарена, но с возможностью записи.

    Т.е. утверждение "работает не корректно" ошибочно. Следует говорить "настроено не корректно"

    7 июля 2017 г. 10:14

Все ответы

  •      Добрый день.

         Столкнулся с такой ситуацией, есть сервер, на нам расшарена папка, например TEST1,  в этой папке создана еще одна, например, TEST2 и тоже расшарена. Папка TEST1 доступна для пользователя только на чтение, а папка TEST2 доступна на запись.

    Если заходить по шаре \\server\TEST1\TEST2 - то папка на запись не доступна, выдает ошибку.

    А если заходить по \\server\TEST2 - то в нее можно записывать.

    С чем это может быть связано, и должно ли так быть?

    Права выдаются на уровне шары (как правило выдаются права - всем=все), далее на уровне ntfs и уже там конфигурируется кому что можно, все остальное по умолчанию нельзя (настройка гибкая, может включать в себя наследование, глубину применения и тд.)

    Чую ж. что вы права порезали на уровне шары и да так и должно быть - режте на уровне NTFS если хотите другого поведения


    The opinion expressed by me is not an official position of Microsoft


    6 июля 2017 г. 13:27
    Модератор
  •      Добрый день.

         Столкнулся с такой ситуацией, есть сервер, на нам расшарена папка, например TEST1,  в этой папке создана еще одна, например, TEST2 и тоже расшарена. Папка TEST1 доступна для пользователя только на чтение, а папка TEST2 доступна на запись.

    Если заходить по шаре \\server\TEST1\TEST2 - то папка на запись не доступна, выдает ошибку.

    А если заходить по \\server\TEST2 - то в нее можно записывать.

    С чем это может быть связано, и должно ли так быть?

    Как много вам открытий чудных готовит просвещенья дух!

    В Windows отдельно есть разрешения на доступа к общей папке (т.е. к файлам через имя общей папки, выдаются для  \\SERVER\общая_папка) и разрешения в файловой системе (NTFS обычно) на операции с файлами любым образом (не важно, через сеть или локально). Так вот, для операции с файлом/папкой через общую папку в сети нужно иметь соответствующие разрешения и для доступа к общей папке, и для  файла/папки в файловой системе.

    PS Вообще-то для начального разъяснения таких, базовых, вещей служат учебники и руководства. Форум, в силу своего формата, подходит плохо: на нём длинные тексты редко пишутся и плохо читаются.


    Слава России!

    • Помечено в качестве ответа Vector BCOModerator 27 июля 2017 г. 11:37
    6 июля 2017 г. 13:54
  • дух? а я вот думал там век........

    там еще есть опция - байпасс траверс чекинг... :-Р про нее многие забывают но она по дефолту включена....................

    6 июля 2017 г. 20:19
  • дух? а я вот думал там век........

    там еще есть опция - байпасс траверс чекинг... :-Р про нее многие забывают но она по дефолту включена....................


    Формальная возможность отключить эту опцию - пережиток старины: в настоящее время Microsoft не поддерживает работу Windows, если этой привилегией не обладают Все (Everyone).

    Слава России!

    6 июля 2017 г. 23:18
  • Формальная возможность отключить эту опцию - пережиток старины: в настоящее время Microsoft не поддерживает работу Windows, если этой привилегией не обладают Все (Everyone).

    пруф про не поддерживает? для 10 вот не рекомендуют, не более.

    Potential impact

    The Windows operating systems and many applications were designed with the expectation that anyone who can legitimately access the computer will have this user right. Therefore, we recommend that you thoroughly test any changes to assignments of the Bypass traverse checking user right before you make such changes to production systems. In particular, IIS requires this user right to be assigned to the Network Service, Local Service, IIS_WPG, IUSR_<ComputerName>, and IWAM_<ComputerName> accounts. (It must also be assigned to the ASPNET account through its membership in the Users group.) We recommend that you leave this policy setting at its default configuration.

    https://docs.microsoft.com/en-us/windows/device-security/security-policy-settings/bypass-traverse-checking

  • Оффтопик: Что-то на форуме все больше диджеев, и все меньше системных администраторов...
  • Здравствуйте, спасибо за ответы. Про разрешения NTFS я конечно знаю, просто не упомянул это. Они настроены. Но проблема все же получается не в них.  Выходит что разрешения работают так, смотря по какому пути заходить, напрямую в TEST2(работает корректно) или через TEST1 (работает не корректно).
    7 июля 2017 г. 10:00
  • Все работает ровно так, как вы и настроили.

    В шару \\server\test1 (C:\Data\Test1)записывать нельзя, поэтому если попасть в \\server\test1\test2 (C:\Data\Test1\Test2), то test2 доступна только для чтения.

    На шару \\server\test2 (C:\Data\Test1\Test2) записывать можно.

    Иными словами расшаренной папке test1 неизвестно о том, что вложенная в нее папка test2 тоже расшарена, но с возможностью записи.

    Т.е. утверждение "работает не корректно" ошибочно. Следует говорить "настроено не корректно"

    7 июля 2017 г. 10:14
  • Спасибо, и как это можно настроить?

    10 июля 2017 г. 8:43
  • Спасибо, и как это можно настроить?

    Вы уже что то настроили. Вопрос в том что вам нужно настроить? Основополагающие вещи уже выше не единожды описаны.

    The opinion expressed by me is not an official position of Microsoft

    10 июля 2017 г. 8:53
    Модератор