Права доступа
 

Есть три пользователя Петя Вася и Катя, входят в домен...
на сервер заходят по сети \\Server\USERDATA....

На сервере (Win2008, контроллер домена) есть папка C:\USERDATA
и в ней планируется такая структура:

C:\USERDATA\Petya
C:\USERDATA\Petya\1
C:\USERDATA\Petya\2
C:\USERDATA\Petya\3

C:\USERDATA\Vasya
C:\USERDATA\Vasya\1
C:\USERDATA\Vasya\2
C:\USERDATA\Vasya\3

для Кати тоже самое.

так же предпологается, что будут еще пользователи, поэтому будет папка-шаблон:

C:\USERDATA\Template
C:\USERDATA\Template\1
C:\USERDATA\Template\2
C:\USERDATA\Template\3

на которой доступ(безопасность) уже настроен, папки пользователя создаются путем копирования папки-шаблона, переименования и назначением нового владельца (например Петя)

необходимо сделать доступ таким образом:
На C:\USERDATA - доступ группе "прошедшие-проверку" только чтение.
папка-шаблон C:\USERDATA\Template - доступ группе "прошедшие-проверку" только чтение.
C:\USERDATA\Petya(Vasya, Katya и т.д.) - доступ группе "прошедшие-проверку" только чтение.
C:\USERDATA\Petya\1 - доступ группе "прошедшие-проверку" только чтение, "Создатель-владелец" саму папку(имя) менять не может, а внутри папки полный доступ.
C:\USERDATA\Petya\2 - доступ группе "прошедшие-проверку" саму папку(имя) менять не могут, а внутри папки полный доступ.
C:\USERDATA\Petya\3 - доступ группе "прошедшие-проверку" - закрыт, а "Создатель-владелец" - саму папку(имя) менять не может, а внутри папки полный доступ.

Возможно такое? Что-то никак я не добьюсь пока желаемого...

Автоматически такого не будет.
Если только после создания нового пользователя исполняйте скрипт с командой cacls / icacls, далее названия папок по формулам.

(и конеш, хранить данные на системном диске я бы не стал)

Согласен, но на данном серваке только один логический диск, он же системный и на нем же данные....

XCOPY копирует с настроенными разрешениями.

пример
xcopy "C:\USERDATA\Template" "C:\USERDATA\UserNew" /E /O

У меня вопрос как собственно настроить сетевой доступ и разрешения на папки, что бы выполнились условия?

Разбейте проблему на маленькие.

Сделайте папку в корне диска с. Дайте на нее права только администратору. Далее внутри сделайте папку допустим USERDATA и расшарьте ее с нормальным доступом всем.

Далее скрипт в автозагрузку вида "примонтируем каждому свой сетевой диск"

И получится у каждого свой личный сетевой диск, где он сможет вариться как ему угодно. А залезть проводником шоб пошастать по чужим - фигушки.

Таким же образом если надо пользователем только для чтения - монтируйте другим сетевым диском.
Народу проще будет обьяснить - на X - все все только читаем, Y - в своей папке делаем шо хотим, другие читают, Z - творим шо хотим, другие - не видят.

Все - ИМХО, но 100% рабочий вариант.

Да это понятно.... Вопрос был в другом
Нужна именно та структура директорий.

Т.е. на самом деле пользователей немного больше, например пока 30. Каждый пользователь должен получить доступ к папкам ../1 (чтение) и ../2 (полный) к любому другому пользователю.
и чтоб ни один (кроме администратора) не мог менять структуру и имена папок структуры.

Создаете шаблон, играетесь с наследованием прав а потом

Пихаете в скрипт

Так собственно и вопрос в этом. Не могу настроить разрешения на папку-шаблон, что бы отвечала условиям.

Почему-то у меня не работает если я делаю "создателю-владельцу" полный доступ на папку ..\1 и применять его для: Только подпапок и файлов
то все равно пользователь-владелец не может внутри папки <NAME>\1 ничего создать

А с копированием папки с настроенными разрешениями вопроса пока нет. XCOPY - работает.

anderson-7,
Возможно ли Безопасностью NTFS настроить ограничения так, что бы имя папки, ее свойства и настройки безопасности было изменить нельзя, но внутри папки дать полный доступ?

Скажу так: в любом случае лучше использовать DFS
В этом случае в сетевой папке \\domain\userdata\ можно создать необходимое количество других папок с самыми разными правами доступа, при этом физически файлы могут находиться в разных каталогах сервера (и даже на разных серверах).

Можно.
В "подробных" настройках ACL для каталогов 1,2,3 указать, что правило "полный доступ" "Создатель-Владелец" (или другой записи) действует только для "вложенных файлов и папок", то есть без применения к самим каталогам

1. Для папки-шаблона использовать ACL "Создатель-владелец"
2. Для папки userdata разрешить "Создание файлов/папок"
3. Написать скрипт CMD, который проверит наличие каталога пользователя, и при отсутствии создаст каталог пользователя и скопирует в него содержимое каталога template. Сам скрипт положить в групповую политику
Поскольку скрипт будет запускаться от имени пользователя, этот пользователь и будет считаться "владельцем" для этих файлов.
Поскольку имя каталога будет соответствовать имени пользователя, можно использовать системную переменную %USERNAME%

Впрочем, если исходная папка-шаблон будет пустой, то проще будет написать скрипт, который СОЗДАЁТ нужную структуру папок и назначает им нужные ACL.

Ну вот что-то у меня не получается так:
На картинке папку пытаюсь создать Пользователем-владельцем папки 1 (назначенным владельцем, но сам пользователь не имеет админских прав)

http://forum.oszone.net/attachment.p...1&d=1386745635

Вопрос частично решился.
Делаю доступ на ..\<NAME>Прошедшим проверку - только чтение
на папку ..\<NAME>\1 - полный доступ конкретному пользователю (например Пети).

Теперь пользователь не может переименовать папки <NAME> и <NAME>\1
но может удалить папку <NAME>\1

Как бы его лишить права удаления папки? Но оставив полное право внутри папки <NAME>\1

Вопрос решен