|
Перенаправление папок: доступ для администратора и владельца
Стоит стандартная задача: нужно сделать перенаправление папок профиля на шару, допустим, в \\srv\users.
Вопрос: как сделать это так, чтобы доступ к каждой папке пользователя имел только сам пользователь и администратор? Другие пользователи вообще не должны видеть папок своих сослуживцев или как минимум не должны иметь возможность в них заходить. Если поставить галочку монопольного использования в GPO, то администратор доступа иметь не будет. Если не поставить - доступ будут иметь все. На Samba я умею такую штуку организовывать, но как организовать это на win2k8r2? Естественно, папки для новых пользователей должны создаваться автоматически групповой политикой и автоматически же для них должны выставляться нужные права. |
Для начала ознакомьтесь с материалами по ссылкам:
Access-based Enumeration 2008 - Скрыть расшареные ресурсы от тех, кто не имеет к ним доступа 2008 R2 - Настройка личных папок пользователей |
Цитата:
Права на шару - Domain Users - Full access Права NTFS: снято наследование от родителя Владелец-создатель - полный доступ на подпапки и файлы. Авторизованные пользователи - чтение, создание папок - только на данную папку System - полный доступ Domain Admins - полный доступ Цитата:
не будет доступа ни у кого кроме Создателя (т.е. соответствующего пользователя) и админов. Не будет у других пользователей т.к. нет NTFS прав на эту папку у них... Про "не видеть" ссылки дали выше. |
Спасибо огромное! Буду изучать!
|
А вот и не получилось. Выставил все права, как написано выше. Ок, пользователи могут создавать папки и не могут гулять по чужим.
Но проблема в том, что администратор может зайти в любую папку только локально. При этом сначала появляется запрос на предоставление постоянного доступа. Если же попробовать зайти по сетевому пути \\srv\users\test\, то даже администратору пишется, что недостаточно прав. Хотя для администраторов домена стоит полный доступ на папку, подпапки и файлы. Где косяк? |
Windows Explorer категорически не готов к технологии UAC, зато готов влёгкую запороть разрешения NTFS. Если вы для обычной работы используете учётную запись рядового пользователя, а с привилегиями Администратора заходите только по доказанной необходимости (собственно, только так и должно быть всегда и везде), то UAC можно отключить. И всё будет заходить как нужно.
|
|
Мда. Десять слоёв прав доступа, и всё равно нифига не работает. Реально надёжней и проще на самбе сделать. UAC отключать не хотелось бы, хоть под амином захожу только для административных операций.
Спасибо, теперь вроде разобрался во всём. В принципе, меня хотя бы локальный доступ с сервака к файлам для администратора вполне устраивает. exo, Да, конечно. Я вообще тестировал не на GPO, а тупым создание папок из-под пользователей и попыткой в них зайти админом. Походу действиетльно UAC виноват, в принципе, не очень оно и мешает. |
Цитата:
|
exo,
Ну это просто исправить) Собственно, протестировал с GPO и перенаправленными папками профиля без монопольного доступа. Результат тот же, понятно дело, с чего бы ему быть другим? Чтобы зайти в папку пользователя нужно как минимум сначала ломануться туда локально, согласиться на предоставление постоянного доступа - и вот тогда уже можно будет заходить удалённо. Без предварительного локального захода даже админу не позволяет заходить. |
Цитата:
Цитата:
Цитата:
|
Вах! M$ не перестаёт меня удивлять непродуманностью своих систем! Такая получается картина:
Папки перенаправляются на \\srv1\users. При этом: 1. С srv1 по локальному пути D:\Users\user1\ для админа запрашивает постоянный доступ, после этого заходит. 2. С этого же srv1 по сетевому пути \\srv1\Users\user1 не заходит, если не выполнить п.1 3. С srv2 по сетевому пути \\srv1\Users\user1 админом заходит всегда. Ладно, в общем всем огромное спасибо, теперь проблема точно решена и я добился желаемого)) |
|
| Время: 11:32. |
Время: 11:32.
© OSzone.net 2001-