|
Права на share папку...
Помогите разобраться: нужно сделать расшаренную папку с различными правами для пользователей одного домена.
Одна группа (локальная из доменных юзеров) должна полный доступ иметь. А все остальные доменные юзеры должны только читать. Ставлю в шаре свойствах - все для всех, а в секьюрити создаю группу для полного доступа, а всем просто зарегестрированным пользователям ставлю только чтение - и ничего не получается - полное чтение для отдельной группы работает, а просто пользователи домена почему-то могут создавать свои папки и файлы, удалять не могут... Если им явно запретить запись, то моя группа с полными правами тоже перестает писать - так как ее члены тоже являются зарег. пользователями. Совсем замучился.... |
Значит неправильно указываешь что-то. На шару ставь доступ - для всех. А на секьюрити - уже нужный доступ. Попробуй ещё раз, и несколько раз проверь. Кстати, а как проверяешь доступ? Может у тебя юзер неявно входит в какую-то разрешающую группу?
|
Я так и делал - на шару все-всем, а в секьюрити одной группе всё, а аунтефицированным пользователям только галочку на чтении.
Но они при этом почему-то могут создавать свои папки и файлы. Я тогда поставил запрет на запись, но этот запрет начинает действовать и на мою группу с полным доступом - видимо потому, что они тоже относятся к аутентифицированным юзерам. Как же обойти эти вилы? |
Цитата:
|
Так все мои пользователи - и те кто должен читать и те кто должен писать
одинаково принадлежат и к authentificated и к domain\users - в этом-то вся и проблема. Не могу же я заводить отдельную группу только для чтения и вносить туда всех пользователей домена.... Почему не работает вариант: указать всех на чтение, а отдельную группу - всего-то 4 юзера на запись? - каким-то образом появляется сразу у "чтецов" право на запись... Как эта система прав вообще работает? |
Цитата:
Authenticated - чтение, отдельная группа из 4 человек - запись? И всё? Или еще какие-то права кому-то даны? Покажите полный список с закладки security - для каждой группы/юзера - права доступа |
security
administrators - полный доступ system - полный доступ domain users -только чтение otdel testirovaniya - полный доступ share domain users -только чтение otdel testirovaniya - полный доступ Еще такая фигня произошла - я удалил юзера из отдела тестирования, а его права все равно меняются вместе с правами группы отдела тестирования. А когда и я и он в группе о.т. - у нас все равно бывают разные права.... Вообще уже ничего не понимаю. |
Цитата:
|
Цитата:
Членство в группах "просчитывается" в момент логона юзера. Пока он не перелогинится - будет считаться, что он всё еще в этой группе. Цитата:
Всё будет рулиться только NTFS-разрешениями. |
patrick4patrick,
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
|
В общем - проблема в том, что если дать в шаре свойствах всем полный доступ, а в секьюрити определенной группе - полный доступ, а всем просто зарегистрированным пользователям - только чтение (все пользователи одного домена), то тем, кто должен только читать почему-то все равно можно создавать свои папки и файлы... А если им, опять же в секьюрити, явно запретить запись, то тогда запись запрещается и той группе, которая должна иметь на нее право...
Вопрос: Как правлиьно организовать разделенные права на шаре папку для пользователей одного домена? |
Можно попробовать так:
1) Вкладка Share > Everyone- полный доступ 2) Вкладка Security: Domain Users - Read only TestGroup - Full Control 3) Обрати внимание на кнопку Advanced во вкладке Security, там расширеная настройка прав. Там будь осторожен с галочкой "Replace permissions........." Иначе все вложенные папки получат те же права, что и корень, все остальные просто удалятся. 4) Группу я бы советовал создавать всё таки в AD, а не локальную, если потом придётся переносить сервер на новое железо с локальными группами будут проблемы. Я сам с таким столкнулся. |
|
Спасибо - статьи интересные...
|
| Время: 17:23. |
Время: 17:23.
© OSzone.net 2001-