Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)
-   -   подскажите про настройку прав в ntfs (http://forum.oszone.net/showthread.php?t=197688)

budanila 26-01-2011 11:04 1597473
подскажите про настройку прав в ntfs
 
Контекст
срв 2003 энтерпрайз.
для определенных пользователей(стандартный пользователь с ограниченными правами) срв нужно закрыть доступ к разделу диска, оставив полные права на отдельную папку на этом разделе.
Делаю следующее - на корень диска задаю права в нтфс для данной группы пользователей
1. Чтение атрибутов
2. Чтение дополнительных атрибутов.
3. Чтение разрешений.
На отдельную папку даю право
1. Полный доступ.

В итоге пользователь не может зайти на диск: "нет доступа к "Имя диска"" "Отказано в доступе"
но может зайти в папку на диске(на рабочем столе ярлык)
При удалении или изменении файлов или папок следующее:"нет доступа к "Имя диска"" "Отказано в доступе".
Подскажите где и что донастроить чтобы пользователь внутри этой папки имел полные права, были бы минимальные права указаные для корня диска.

Ivan Bardeen 26-01-2011 11:18 1597481
покажите вывод команды
cacls буква_диска:\

budanila 26-01-2011 11:34 1597495
E:\ NT AUTHORITY\SYSTEM:(OI)(CI)F
BUILTIN\Администраторы:(OI)(CI)F
SERVER\Бухгалтерия:(OI)(CI)R
BUILTIN\Пользователи:(OI)(CI)(специальный доступ:)
READ_CONTROL
SYNCHRONIZE
FILE_READ_EA
FILE_READ_ATTRIBUTES

SERVER\пользователь2:(OI)(CI)(специальный доступ:)
READ_CONTROL
SYNCHRONIZE
FILE_GENERIC_READ
FILE_GENERIC_WRITE
FILE_GENERIC_EXECUTE
FILE_READ_DATA
FILE_WRITE_DATA
FILE_APPEND_DATA
FILE_READ_EA
FILE_WRITE_EA
FILE_EXECUTE
FILE_READ_ATTRIBUTES
FILE_WRITE_ATTRIBUTES

СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ:(OI)(CI)(IO)F

З.Ы текущая настройка для пользователей "Пользователи"

HLT 26-01-2011 11:37 1597501
добавьте на корень право "list folder contents" и через "advanced" поставьте наследование "this folder only"

budanila 26-01-2011 12:20 1597533
Сделал это для одного пользователя(тест) - в итоге этот пользователь может читать практически все файлы во вложенных каталогов - хотя сделал наследование "this folder only".
E:\ NT AUTHORITY\SYSTEM:(OI)(CI)F
BUILTIN\Администраторы:(OI)(CI)F
SERVER\Бухгалтерия:(OI)(CI)R
SERVER\Тест:R
SERVER\Тест:(OI)(CI)(специальный доступ:)
READ_CONTROL
SYNCHRONIZE
FILE_GENERIC_READ
FILE_READ_DATA
FILE_READ_EA
FILE_READ_ATTRIBUTES

BUILTIN\Пользователи:(OI)(CI)(специальный доступ:)
READ_CONTROL
SYNCHRONIZE
FILE_READ_EA
FILE_READ_ATTRIBUTES



СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ:(OI)(CI)(IO)F

budanila 26-01-2011 13:39 1597603
чуть неправильно сделал настройку. Исправил. Все работает. Спасибо большое. Хотелось бы еще понять почему заработало после этого. Есть какие нить статьи про данный нюанс ntfs?

HLT 26-01-2011 14:37 1597650
Старайтесь избегать раздачи прав "создателю-владельцу"
Есть очень много подводных камней...

Например, со стандартными NTFS-разрешениями ЛЮБОЙ пользователь, имеющий право локального логона на сервере, может создать папку в корне диска C:, и потом в неё закидать кучу всякой гадости, пока всё свободное место на системном диске не закончится...


Время: 22:10.

Время: 22:10.
© OSzone.net 2001-