PDA

Показать полную графическую версию : [решено] Вопрос по ACL


Hephaestus
11-02-2013, 17:14
Добрый день.
Возможно, тема более широкая чем Server 2008 R2, но так как домен пострен на нем, пишу сюда.

Дано: созданы новые пользователи (300 шт), они разбиты на глобальные группы безопасности по 30 пользователей/группа.
У каждой группы в общем ресурсе DFS (1) есть собственная папка группы (2), в которой созданы папки для каждого пользователя (3).
С помощью VB-скрипта при входе пользователя его личная папка подключается как сетевой диск. Должен подключаться.

Проблема: папка не подключается, потому что к ней нет доступа. Если идти по пути вручную, то нет доступа к папке группы. Значит, я накрутил с правами доступа. На практике, если добавить в (2) явно заданное правило разрешения чтения для "Прошедшие проверку" или более узкой "Пользователи нашего домена", папка открывается, сетевой диск подключается. Почему система не даёт доступа пользователю, который является членом группы-владельца этой папки?
ACL всех трех папок прилагаю.

Буду благодарен за подсказку.

ACL



Владелец - группа Domain Admins
По сети:
"Все" - чтение, изменение,
"Domain Admins" - полный доступ


ACL - Нет наследуемых, все заданы явно в этой папке:

Система (Для этой папки, подпапок и файлов) -- полный доступ
Domain Admins (Для этой папки, подпапок и файлов) -- полный доступ
СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ (Только для подпапок) -- полный доступ
Прошедшие проверку (Только для этой папки) -- чтение

Владелец - глобальная группа пользователей
Сюда-то пользователей и не пускает, хотя членами группы-владельца они являются.
Система (унаследовано) -- полный доступ
Domain Admins (унаследовано) -- полный доступ
СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ (унаследовано) - полный доступ


Владелец - пользователь
Система (унаследовано) -- полный доступ
Domain Admins (унаследовано) -- полный доступ
СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ (унаследовано) - полный доступ

exo
11-02-2013, 18:16
до сих пор не могу понять, почему до сих пор используют скрипты для подключения дисков, когда есть GPO...
Сама GPO: При входе пользователя папка сама создастся.
http://www.exonix.ru/foto/2008/gpo-d1.png
Настройки прав NFTS:
http://www.exonix.ru/foto/2008/gpo-d2.png

http://www.exonix.ru/foto/2008/gpo-d3.png
для владельца - полный доступ.

Права на шару: пользователи домена - полный доступ, администраторы домена - полный доступ! убрать группу "все"

Hephaestus
11-02-2013, 18:35
Скрипты -- потому что путь имеет вид \\domain\DFS\users\%groupname%\%username%. Этих групп довольно много.

К сожалению, этот сценарий не подходит.
А "все" я уберу, спасибо.

И всё же, почему не дает доступ в папку члену группы-владельца? Читаю про creator-owner, пока ничего похожего не нашел.

exo
11-02-2013, 18:45
\\domain\DFS\users\%groupname%\%username% »
такого не встречал. а если руками создать папку-группы, и указать права, как я описал выше?
СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ (унаследовано) - полный доступ »
а кто папку то создавал? нету группы - "группа пользователей"

Hephaestus
15-02-2013, 13:28
Прошу прощения за поздний ответ.
В общем, ситуация разрешилась следующим образом:
Для корневой папки (1) была изменена запись для "прошедшие проверку" - вместо "чтения" включен "траверс папок" на папку с подпапками без наследования. Это соответствует записи (CI)(NP)(X)
Папкой группы (2) владеет группа доменных администраторов.
Папкой пользователя (3) владеет сам пользователь.

Всё подключается, создается, всё хорошо.

а кто папку то создавал? »
Создавал администратор через PoSh-скрипт. Скриптом же изменялся владелец на группу пользователей.

нету группы - "группа пользователей" »
Я имел ввиду глобальную группу безопасности.


В общем, спасибо за советы :) Все решено.




© OSzone.net 2001-2012