![]() |
подскажите про настройку прав в ntfs
Контекст
срв 2003 энтерпрайз. для определенных пользователей(стандартный пользователь с ограниченными правами) срв нужно закрыть доступ к разделу диска, оставив полные права на отдельную папку на этом разделе. Делаю следующее - на корень диска задаю права в нтфс для данной группы пользователей 1. Чтение атрибутов 2. Чтение дополнительных атрибутов. 3. Чтение разрешений. На отдельную папку даю право 1. Полный доступ. В итоге пользователь не может зайти на диск: "нет доступа к "Имя диска"" "Отказано в доступе" но может зайти в папку на диске(на рабочем столе ярлык) При удалении или изменении файлов или папок следующее:"нет доступа к "Имя диска"" "Отказано в доступе". Подскажите где и что донастроить чтобы пользователь внутри этой папки имел полные права, были бы минимальные права указаные для корня диска. |
покажите вывод команды
cacls буква_диска:\ |
E:\ NT AUTHORITY\SYSTEM:(OI)(CI)F
BUILTIN\Администраторы:(OI)(CI)F SERVER\Бухгалтерия:(OI)(CI)R BUILTIN\Пользователи:(OI)(CI)(специальный доступ:) READ_CONTROL SYNCHRONIZE FILE_READ_EA FILE_READ_ATTRIBUTES SERVER\пользователь2:(OI)(CI)(специальный доступ:) READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_GENERIC_WRITE FILE_GENERIC_EXECUTE FILE_READ_DATA FILE_WRITE_DATA FILE_APPEND_DATA FILE_READ_EA FILE_WRITE_EA FILE_EXECUTE FILE_READ_ATTRIBUTES FILE_WRITE_ATTRIBUTES СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ:(OI)(CI)(IO)F З.Ы текущая настройка для пользователей "Пользователи" |
добавьте на корень право "list folder contents" и через "advanced" поставьте наследование "this folder only"
|
Сделал это для одного пользователя(тест) - в итоге этот пользователь может читать практически все файлы во вложенных каталогов - хотя сделал наследование "this folder only".
E:\ NT AUTHORITY\SYSTEM:(OI)(CI)F BUILTIN\Администраторы:(OI)(CI)F SERVER\Бухгалтерия:(OI)(CI)R SERVER\Тест:R SERVER\Тест:(OI)(CI)(специальный доступ:) READ_CONTROL SYNCHRONIZE FILE_GENERIC_READ FILE_READ_DATA FILE_READ_EA FILE_READ_ATTRIBUTES BUILTIN\Пользователи:(OI)(CI)(специальный доступ:) READ_CONTROL SYNCHRONIZE FILE_READ_EA FILE_READ_ATTRIBUTES СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ:(OI)(CI)(IO)F |
чуть неправильно сделал настройку. Исправил. Все работает. Спасибо большое. Хотелось бы еще понять почему заработало после этого. Есть какие нить статьи про данный нюанс ntfs?
|
Старайтесь избегать раздачи прав "создателю-владельцу"
Есть очень много подводных камней... Например, со стандартными NTFS-разрешениями ЛЮБОЙ пользователь, имеющий право локального логона на сервере, может создать папку в корне диска C:, и потом в неё закидать кучу всякой гадости, пока всё свободное место на системном диске не закончится... |
Время: 14:30. |
Время: 14:30.
© OSzone.net 2001-