Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)
-   -   Доступ к вложенным сетевым папкам (http://forum.oszone.net/showthread.php?t=248427)

Triarch 05-12-2012 14:29 2039160
Доступ к вложенным сетевым папкам
 
Доброго времени суток всем.

После недавней установки и настройки файл-сервера в домене появились некоторые проблемы.

Описание схемы: Файл-сервер (server). на нем одна шара (share), на нее настроен ABE (Все-Полный доступ). В папке share попаки пользователей и папки отделов. Все в общем то нормально, пользователи видят только свои личные папки и то что им разрешено.

Вопрос теперь возник в следующем:
1. Пользователи в своих папках могут создавать, удалять..в общем все что угодно. Но случайно выяснил, что они могут и эту самую свою папку тоже удалить( Не смог разобраться как выставить права на изменение только внутри папки пользователя, чтобы саму ее они не могли грохнуть.
2. Возникла необходимость выдавать доступ пользователям на некоторые папки чужих отделов. Полностью на папку чужого отдела не проблема дать тдоступ, но это не очень желательно. А как можно сделать чтобы доступ у этих был только на определенные папки внутри папки чужого отдела?

Заранее большое спасибо =)

exo 05-12-2012 15:02 2039191
Цитата:
Цитата Triarch
2. Возникла необходимость выдавать доступ пользователям на некоторые папки чужих отделов. Полностью на папку чужого отдела не проблема дать тдоступ, но это не очень желательно. А как можно сделать чтобы доступ у этих был только на определенные папки внутри папки чужого отдела? »
назначьте нужные права на папку, а пользователю дайте полную ссылку на папку.
Если в домене ничего не меняли, то по умолчанию доступ будет. я запамятовал как этот тип доступа называется...

snark 05-12-2012 16:58 2039280
Triarch, я делаю так:

1) на личную папку пользователя назначаю такие права



Сделал скрин так, чтоб были видны только включенные галочки. Если не видно, значит, галка не установлена.

Если нужно автоматизировать, то поможет кусок из скрипта на PowerShell

Код:
$DirNameFull="\\server\share\$DirName"
if (!(Test-Path $DirNameFull))
{
  Write-Host 'Папки' $DirNameFull 'нет, создадим ее и назначим права.'
  New-Item -Path $DirNameFull -ItemType Directory
  # icacls $DirNameFull /grant:r "$($env:USERDOMAIN)\Администраторы домена:F" /T /C
  # F - full, RX - read & execute,
  # OI - Object Inheritance (наследование объектами - файлы),
  # CI - наследование контейнерами (папки)
  # Права на чтение и запись для подпапок и файлов.
    icacls $DirNameFull /grant:r "$($user):(OI)(CI)(IO)M" /T /C
  # Права на чтение, запись и выполнение только для этой папки.
    icacls $DirNameFull /grant:r "$($user):(GR,GE,GW)" /C
}
2) Чтоб зайти чужаку в папку другого отдела, пришлось наряду с группами безопасности Server-Share-RW, Server-Share-RO, Server-Share-FC (соответственно, для доступа к папке Share на сервере Server — чтение/запись, чтение, полный доступ) создать группу безопасности Server-Share-RI (для входа в папку). Права такие:



То есть пользователи в группе Server-Share-RI могут лишь зайти в папку и прочитать разрешения. Соответственно, если внутри каталога \\server\share есть подкаталоги 01, 02, и так далее, — то на каждый подкаталог ставим нужный доступ группе Server-Share-01(02, 03 etc), и эту группу безопасности включаем в состав группы Server-Share-RI. После этого перелогиниваем пользователя, которому делали доступ, и проверяем под ним.

exo 05-12-2012 17:07 2039288
Цитата:
Цитата exo
я запамятовал как этот тип доступа называется... »
нашёл Обход перекрестной проверки\Bypass traverse checking
для 2008 и 2012 пути не изменились в GPO.

snark 05-12-2012 17:17 2039301
exo, спасибо за ссылку. Параметр групповой политики включается на файловом сервере?

Цитата:
Цитата exo
Если в домене ничего не меняли, то по умолчанию доступ будет »
А как можно сделать без выдачи ссылок, а именно с возможностью "ползать" по дереву каталогов?

P. S. Проверил, нельзя.

exo 05-12-2012 18:49 2039378
Цитата:
Цитата snark
А как можно сделать без выдачи ссылок »
ссылки можно или через ярлыки на рабочий стол, и сетевые диски монтировать.
Цитата:
Цитата snark
а именно с возможностью "ползать" по дереву каталогов? »
а зачем?
Цитата:
Цитата snark
Параметр групповой политики включается на файловом сервере? »
он по умолчанию включен. разница только в том, кому можно на ФС и КД.
К сожалению, такая фишка не проходит когда нужно дать доступ к одному файлу - слетают права. Решения не нашёл.

Triarch 05-12-2012 19:31 2039400
Вложений: 1
Snark сделал по вашему примеру со скринами, для папки пользователя, все равно пользователь удалять может свою папку(
Вот такие настройки сделал, соответсвенно в элементах разрешений первое и третье разрешение по вашей рекомендации настроено

snark 06-12-2012 08:56 2039650
Triarch, разрешения на корневую папку сотрудников какие стоят? Для группы безопасности "Пользователи домена" выставьте права на папку как на втором скрине, т. е. "Только для этой папки" разрешаем траверс, содержание, чтение атрибутов и разрешений.
В моем случае пользователь может удалить содержимое папки, но саму папку ни переименовать, ни удалить не может.

Цитата:
Цитата exo
Цитата snark: а именно с возможностью "ползать" по дереву каталогов? »
а зачем? »
Много связей между отделами, много ссылок. Опасаюсь, что будет больше хаоса. В общем, надо экспериментировать, спасибо за информацию.

Цитата:
Цитата exo
К сожалению, такая фишка не проходит когда нужно дать доступ к одному файлу - слетают права. Решения не нашёл. »
В подобном случае заставляю выкладывать этот файл в отдельный каталог, и на него уже назначаю права.

exo 06-12-2012 12:41 2039816
Цитата:
Цитата snark
Много связей между отделами, много ссылок. Опасаюсь, что будет больше хаоса. »
а у меня другой взгляд: много папок - много групп...
Цитата:
Цитата snark
В подобном случае заставляю выкладывать этот файл в отдельный каталог »
мы только так и сделали.

Triarch 07-12-2012 18:32 2040807
snark спасибо большое за советы, исправил разрешения на корень (share) и все получилось =)
а вот с доступом на определенные папки чужого отдела что то не могу разобраться все равно( или не совсем понял ваши объяснения

snark 10-12-2012 18:00 2042562
Цитата:
Цитата Triarch
2. Возникла необходимость выдавать доступ пользователям на некоторые папки чужих отделов. Полностью на папку чужого отдела не проблема дать тдоступ, но это не очень желательно. А как можно сделать чтобы доступ у этих был только на определенные папки внутри папки чужого отдела? »
exo подкинул пищу для размышлений, "Обход перекрестной проверки" — то, что нужно. До этого (см. в постах выше) я "ехал в Париж через Мамадыш", все оказалось проще. Алгоритм действий:
1) На нужную папку (c:\Share\Buh\Otchet\2012 - к примеру) назначить нужные (RW, RO) права для определенной группы, к примеру, назовем эту группу Buh-Otchet-2012-RW.
2) Далее создаем ярлык для этой папки и помещаем его в корень шары (C:\Share)
3) Назначаем права для этого ярлыка: Администраторы и система — полный, группа Buh-Otchet-2012-RW — чтение/запись.
4) Так как обход перекрестной проверки включен по умолчанию, то более ничего делать не нужно. Просто заходим под пользователем, входящим в вышеуказанную группу, и проверяем ярлык.
5) Путь к ярлыку должен быть абсолютный, т. е. через букву сетевого диска, а не через диск С: самого сервера.

Еще раз спасибо exo.


Время: 16:54.

Время: 16:54.
© OSzone.net 2001-