Треверс файлов - файлы по ссылке. Права доступа
 

Добрый день!
Обращаюсь за помощью, так как свои знания, увы, исчерпались.
Буду очень благодарен.

Есть каталог с файлами.
Есть два пользователя:
Администратор домена
Пользователь домена

Цель - настроить права так, чтобы каталог для пользователя домена был заблокирован и вообще его было не видно, а файлы были доступны по прямой ссылке.
Задача кажется не сложной.
Для Администратора домена - все банально - нужные (все) права на все файлы и папки рекурсивно.
Для Пользователя домена на нужную папку:


Проблема в том, что для Пользователя домена рекурсия (как видно из скриншота) отключена, а значит на файлы в каталоге не распространяются права пользователя домена, то есть в списке нет пользователя домена. То есть файлы по ссылке не открываются (под пользователем домена).
Права на файлы можно добавить отдельно (выделить все файлы и добавить), однако одни файлы в каталоге будут удаляться, а другие добавляться, а рекурсии нет. То есть надо будет постоянно при добавлении каждого файла (группы файлов) назначать им права - мартышкин труд какой-то.

Вот, собственно, проблема. Можно как-то решить вопрос с правами на файлы внутри такого "скрытого" каталога?

Спасибо.

Чтобы не было видно, настройте DFS и включите опцию Перечисление на основе доступа (Access-based enumeration).

Гораздо проще не париться с правами, которые потом замотаешься администрировать и высок риск всё поломать, а создать отдельные папки для рабочих групп, куда будет иметь доступ ограниченный круг лиц из разных подразделений.
Если группы всего две - админы и юзеры, ну так сделайте 2 папки, и дело с концом. То, что для всех, пусть лежит у юзеров, а админское - у админов.

Либо использовать Nextcloud, который будет смотреть в папку на сервере по SMB/CIFS, и оттуда раздавать ссылки хоть в интернет.

"создать отдельные папки для рабочих групп"
Там так не получится, каталог один и в нем графические файлы, неограниченный доступ к которым должен иметь один человек (максимум два), который будет готовить для других лиц прямые ссылки на файлы.
Цель, чтобы пользователи не имели доступа к каталогу с оригиналами картинок, а открывали их с помощью графического редактора (пересохранение таких файлов можно отследить потом, а вот копию оригинала создать путем копировать/вставить уже не получится).

Если есть прямая ссылка на файл, то его можно спокойно скопировать, например, через командную строку.

Насколько я могу судить, раздачей прав ваша задача не решается. Тут нужно какое-то либо специальное ПО, либо просто создавайте каталоги отдельно для каждого пользователя; в любом случае, надо менять схему доступа к файлам.

Кстати в качестве решения, которое удалось найти - это на каталог, где будут лежать нужные файлы, в расширенных правах добавить три записи:
- администратора домена с полными правами на все папки и файлы внутри;
- пользователя домена только с треверсом папок /выполнение файлов - только на текущую папку;
- пользователя домена почти со всеми правами, кроме удаления файлов и папок, смена, разрешений и владельца - только на файлы внутри папки.
Тогда схема работает.

Кстати, если речь про команду:
copy пать1/файл.bmp путь2/
то копирование не работает - отказано в доступе. Подозреваю, что copy все таки идет по пути и утыкается в каталог - он же папка, для которой разрешен только треверс.

Меня, правда, не копи больше беспокоит, так как конкретные пользователи (для кого все это создается) не умеют ей пользоваться (уверен с высокой долей уверенности), а вот графическими редакторами они будут пользоваться, а там есть функции точного (с точностью до бита) копирования файла.