none
Пересоздание структуры папок файлового хранилища - NTFS RRS feed

  • Вопрос

  • Доброго коллеги!
    Начали борьбу с нашей файлопомойкой. Решили привести ее в порядок. Пересоздать нормально структуру с именованием папок по подразделениям, настроить правильно группы и права с нуля.

    Уперся в странную штуку.
    Как реализована сейчас структура:
    -----File Storage Folder------
    -------Отдел 1---------
    -------Отдел 2---------
    -------Отдел 3---------

    Наследование у папок "Отдел N" от корневой папки отключено!

    Пока тестирую это на одной тестовой пользовательской учетке и права такие:
    На корневую папку назначены права локальных админов сервера (полные), администраторам домена (полные), система (полные) и для тестовой учетки TestUser (чтение) - это чтобы он не мог изменить корневую структуру папок, чтобы левые папки не плодились в корне File Storage Folder.
    Соответсвенно на папки Отдел N будут даны полные права одноименным группам членами которых будут пользователи этих отделов.

    Сейчас уперся в то, что несмотря на то, что у Админов домена полные права на File Storage Folder и все подпапки "Отдел N", происходит следующее - к примеру, на файл сервер заходит другой админ домена (не по шаре, а локально) и идет на тот диск где лежит папка File Storage Folder и когда он пытается зайти в эту папку (File Storage Folder), то система говорит что у него нет прав и кнопки "Отмена" и "Продолжить". Если нажать "Продолжить", то его пускает в папку и в правах NTFS у этой папки появляется отдельная запись в ACL для этого админа. Почему не работает то что явно указана группа Админы домена с полными правами? Так же, т.к. отключено наследование у папко "Отдел N" при попытке войти в них то же самое, для каждой сообщается что нет прав и при нажатии "Продолжить" админ получает права и система прописывает его в ACL отдельной записью.

    P.S. Хотя на серваке есть локальная группа Администраторы (а эта группа имеет полный доступ к папке File Storage Folder и всем подпапкам) и в нее добавлена группа Админы домена. По идее на папку не надо прописывать отдельно Админов домена, но и с ней и без нее проблема остается

    Спасибо!
    7 ноября 2019 г. 9:00

Ответы

  • Недавно уже обсуждали:

    "Если группе Domain Admins выданы разрешения как NTFS, так и Share на папку, то при клике на ней появится сообщение об отсутсвии прав. Нажав ОК админская УЗ явно будет прописана в ACL. Это из-за UAC. Возможные решения - отключение UAC, выдать права управление группе неявляющейся админами на управление содержимым, или использовать файл менеджеры запущенные от имени администратора, или выдача прав себе родимому и подтирание концов в конце плановых работ, или игнорировать такие аскпекты и не обращать внимание на то что вы явно добавлены в ACL определенного каталога"

    7 ноября 2019 г. 10:05
  • Добрый день,

     Чтобы папку не удалили, можно поставить права Read/Write/Execute на папку только, и права Modify на подпапки и файлы

    7 ноября 2019 г. 12:19
  • Две записи в доп параметрах на папке Бухгалтерия для этой группы:

    Применять только к... Этой папке:  Чтение/Выполнение/Запись (это не даёт прав на удаление самой папки, но даст возможность создавать файлы и подпапки)

    Применять только к... Подпапкам и файлам: Изменение

    7 ноября 2019 г. 12:30

Все ответы

  • Нашел похожую тему тут и на другом форуме тоже сказали, что это срабатывает UAC. Но отключать UAC на серваке не очень-то и хочется! Замена владельца папки на "Администраторы" тоже не решает задачу. Как сделать так чтобы коллеги заходили в папки имея членство в группе Администраторы домена(а она в свою очередь входит в локальную группу Администраторы на сервере) без сообщения, что у них туда нет доступа и без внесения правок в NTFS после нажатия кнопки Продолжить?
    • Изменено ItDen 7 ноября 2019 г. 9:51
    7 ноября 2019 г. 9:50
  • Недавно уже обсуждали:

    "Если группе Domain Admins выданы разрешения как NTFS, так и Share на папку, то при клике на ней появится сообщение об отсутсвии прав. Нажав ОК админская УЗ явно будет прописана в ACL. Это из-за UAC. Возможные решения - отключение UAC, выдать права управление группе неявляющейся админами на управление содержимым, или использовать файл менеджеры запущенные от имени администратора, или выдача прав себе родимому и подтирание концов в конце плановых работ, или игнорировать такие аскпекты и не обращать внимание на то что вы явно добавлены в ACL определенного каталога"

    7 ноября 2019 г. 10:05
  • Спасибо!

    Ну да создал группу FileStorageAdmins, добавил туда учетки доменных админов и перестало выскакивать предупреждение о нехватки прав

    7 ноября 2019 г. 11:21
  • Еще хотел посоветоваться, буду признателен за инфу...
    Итак создана вышеописанная структура и для корневой папки File Storage Folder в дополнительных параметрах безопасности для группы "Пользователи домена" выставлены права "только чтение" и указан параметр в доп.настройках "Применять к"="Только для этой папки". Этим я добился, что пользаки не могут ни чего сделать в корневой папки, ни удалить что-либо, ни создать. Вроде как отлично!

    Но теперь начал раздавать разрешения на сами подпапки в корневой папке.
    Пример:
    Бухгалтерия
    Проектный отдел
    и т.п.

    В AD я создал одноименные группы, к примеру, "Бухгалтерия-RO"(чтение) и "Бухгалтерия-RW"(запись) и сотрудников бухгалтерии поместил в группу с префиксом RW. В безопасности у папки Бухгалтерия, группе "Бухгалтерия-RW" дал права Modify(Изменение) и тут вот незадача.

    При таком праве (Изменение) у группы "Бухгалтерия-RW" они имеют право делать с подпапками и файлами в их папке все что угодно! Отлично! Переименовать папку Бухгалтерия не могут - отлично! Но они могут ее удалить!!! Хотя для "Пользователи домена" стоит на корневую папку "Только чтение" и это работало до выдачи прав Modify!

    Склоняюсь к тому, чтобы в доп.параметрах безопасности у корневой папки оставить "Применять к"="К этой папке", но поставить в столбце Deny Удаление! Вот решил спросить совета, может иной спобой есть лучше или я в правильном направлении?
    7 ноября 2019 г. 12:08
  • Добрый день,

     Чтобы папку не удалили, можно поставить права Read/Write/Execute на папку только, и права Modify на подпапки и файлы

    7 ноября 2019 г. 12:19
  • А.

    Т.е. корневую я не трогаю, а у папки Бухгалтерия для группы Бухгалтерия-RW иду в доп.параметрах безопасности (сейчас выданы права Modify) я в поле "Применить к..." должен поставить к подпапкам и файлам? Правильно понял?

    7 ноября 2019 г. 12:24
  • Две записи в доп параметрах на папке Бухгалтерия для этой группы:

    Применять только к... Этой папке:  Чтение/Выполнение/Запись (это не даёт прав на удаление самой папки, но даст возможность создавать файлы и подпапки)

    Применять только к... Подпапкам и файлам: Изменение

    7 ноября 2019 г. 12:30
  • Т.е. логика решения задачи сводится не к установке определенных разрешений к корневой папке, а ставить запрет на удаление у каждой подпапки в корневой папке? Я просто считал что разрешения надо как-то выставить на корневой папке манипулируя параметром "Применить к..." и это запретит менять структуру корневой папки (удалять, переименовывать папки отделов или создавать файлы всякие в корневой папке), а получается так не сделать и надо ковырять разрешения для каждой группы <группа>-RW для каждой папки отдела?

    • Изменено ItDen 7 ноября 2019 г. 13:16
    7 ноября 2019 г. 13:15
  • Не то чтобы это запрет в явном виде (deny), просто отсутствие разрешения ). А так да, для папки каждого отдела нужно ручками все прописать.
    7 ноября 2019 г. 13:18
  • Понятно. Попробую сегодня еще раз. А то я все таки думал плясать на корневой папке(. Я просто тогда не понимаю как работает этот параметр "Применить к..." если его настраивать на самой корневой папке. Уже несколько статей прочитал по этим настройкам, но что-то не догнал пока (
    7 ноября 2019 г. 13:56
  • ItDen как успехи?

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий. Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.

    12 ноября 2019 г. 6:51
    Модератор