Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows 2000/XP (http://forum.oszone.net/forumdisplay.php?f=6)
-   -   xcacls и специальные права доступа! (http://forum.oszone.net/showthread.php?t=63004)

Murindal 19-03-2006 00:57 419358

xcacls и специальные права доступа!
 
У же месяц мучаюсь с утилитой xcacls, которая предназначена для установки специальных прав доступа к файлам и папкам файловой системы NTFS! Задача следующая: установить права доступа конкретному пользователю на:
папку - чтение, запись, выполнение;
подпапки и файлы - чтение, запись, выполнение, удаление.
Результат - пользователь может все что угодно делать с содержимым папки, но не может удалить или переименовать саму папку. Результата я пока не добился.
Если кто-нибудь делал такое, знает как это сделать или сделает, отпишите, пожалуйста, одной строкой на примере папки "d:\test" и пользователя "user".

Sham 19-03-2006 05:22 419380

Вот строчка...

cacls d:\test /e /g COMP\user:r & cacls d:\test /e /c /g COMP\user:w & cacls d:\test\* /e /t /p COMP\user:f

Только я не сообразил, как сделать так, чтобы создаваемые в этой папке файлы не наследовали разрешения самой папки (родителя), используя cacls. Получается, что юзер создаст там файл, и хрен удалит\переименует его. Это только через GUI видимо, или я не знаю...
Если узнаешь, сигнализируй :)

Murindal 28-03-2006 21:54 422646

2Sham
Проблема в том, что изначально папка D:\test пустая и использование подстановочного знака "*" ничего не даст!:( Так что юзер создавая подпапки и файлы удалить или изменить их уже не сможет, как ты и писал!
Щас ковыряю WMIC, вроде там можно это сделать.

P.S. Вопрос остается открытым!!!

Sham 29-03-2006 10:41 422776

Murindal
Тебе лучше виртуальный диск создавать на эту папу при входе (subst).
WMIC - геморрой, и по-моему ничего не даст. Но если получится, то пиши...

Guyver 30-03-2006 13:28 423166

to Murindal
В Windows XP (да и для w2000 подойдет, я думаю) для NTFS через вкладку Безопасность в свойствах папки/файла я могу подсказать как сделать, если надо. А программами я не пользуюсь, не вижу смысла.

Vadikan 30-03-2006 21:41 423357

Guyver
Если автор темы задает вопрос про xcacls, то он наверняка знает как выставить права через GUI :)
Цитата:

А программами я не пользуюсь, не вижу смысла.
Когда вам понадобится выставить права доступа на паре сотен машин, вы смысл сразу увидите :)

Guyver 01-04-2006 15:26 423917

Цитата:

Если автор темы задает вопрос про xcacls, то он наверняка знает как выставить права через GUI
Спасибо, учту на будущее. Впредь обещаю не лезть с глупыми советами...

amel27 02-04-2006 03:16 424067

Vadikan
Цитата:

Если автор темы задает вопрос про xcacls, то он наверняка знает как выставить права через GUI
Тем не менеее из содержания поста следует как раз обратное. Нельзя ограничить права на папку ROOT\TEST без изменения соответствующих прав на папку-контейнер (ROOT), в частности - права на переимонование и удаление TEST.

Murindal

Для выполнения требуемых условий потребуется создать как минимум три ACL:
1. ACL для корневой папки (просмотр), желательно без наследования
2. ACL для TEST (просмотр+создание) без наследования, тип "только для текущей папки"
3. ACL для TEST (RWD), тип наследования - "только для подпапок и файлов", т.е. исключая текущую.

Легко убедиться, что XCACLS поддерживает только три типа наследования: "только для файлов", "для этой папки и ее подпапок", "для этой папки, ее подпапок и файлов", т.е. для реализации задачи однозначно не подходит. Я вижу единственный способ автоматизации задачи - создание шаблона безопасности (вручную или в оснастке MMC) с последующим применением его через SECEDIT. Одно неудобство - INF файл содержит SID а не имя учетной записи, но думаю при желании его можно "обойти" применением соответствующих утилит типа GETSID.

Vadikan 02-04-2006 07:27 424078

amel27
Цитата:

Тем не менеее из содержания поста следует как раз обратное.
Я в детали первого поста не вникал... Я просто подумал, что человек просто должен знать как выставить права через GUI и что там можно сделать, если он месяц мучается с xcacls. Спасибо за исчерпывающий ответ :)

Sham 02-04-2006 11:54 424114

amel27
Цитата:

Я вижу единственный способ автоматизации задачи - создание шаблона безопасности (вручную или в оснастке MMC) с последующим применением его через SECEDIT
А вот здесь бы конкретики хотелось, если можно...

Murindal 02-04-2006 12:34 424131

Огромное всем спасибо, особенно amel27! Твой вариант понял, попробую реализовать. С xcacls'ом ничего не выйдет. Буду продолжать крутить WMIC. Как будут результаты - отпишу!!!

Раскрою суть, чего я так мучаюсь! Мне надо переставить систему со всем софтом (примерно 10Гб) на 72 компах, причем клонить их нельзя, т.к. системники находятся под стикерными пломбами. Для установки я используюю заранее собраный образ и ставлю систему с DHCP сервера. После установки я юзаю cmd-скрипт, которой мне разбивает диск на 3 диска, создает некоторые папки, открывает шары, вводит в домен и задает права доступа к разным разделам. Обычные глобальные юзеры ничего не могут записывать на диск С:\ , для этого у ние есть D:\users. Вот как раз с этой папкой у меня и проблема, так как надо дать пользователям полный контроль над содержимым папки, но не позволить им удалять ее! А, честно говоря, пробежаться по 72 компам и руками поставить "delete subfolders and files" конечно могу, но хочеться вообще полной автаматической установки!

amel27 03-04-2006 03:47 424328

Цитата:

вводит в домен
И в чем тогда проблема? Создай соотв. правило в политике домена и не парься... :)


Время: 16:48.

Время: 16:48.
© OSzone.net 2001-