раздать права NTFS
есть:
Windows Server 2003 SE SP1 + AD Windows Server 2003 SE SP1 + FileServer Windows XP pro SP2 FileServer выглядит так: На папки "Отдел-х" имеют доступ на чтение соотвествующие группы отделов. На папки "Общие" имеют права на изменение соотвествующие группы отделов. На папки "Сотрудники" имеют доступ на чтение соотвествующие группы отделов. На папки "Ф.И.О." имеют права на изменение соотвествующие учётные записи пользователей. Задача, дать права на чтение Сотрудника Ф.И.О. из отдела-1 на папку Сотрудника Ф.И.О. отдела-2 без использования именных записей, используюя только группы. Вообщем как-то так. и ещё вопрос: заходит один из сотрудников в папку "Сотрудники" и видит лишь свою папку, т.к. есть права на неё. А папки других сотрудников не видит, т.к. нет прав на них. Можно такое сделать ? |
Цитата:
Использование ABE в Windows Server 2003 R2 |
Для этих целей естественно делать такую иерархию:
Пусть есть ресурс A, специально для него создаем нужное количество групп безопасности такого вида: "Группа полного доступа к ресурсу А" "Группа доступа на чтение ресурса А" "Группа доступа на изменение ресурса А" и т.п., по надобности. У меня всего 2 или 3 такие - полного доступа, чтения, просмотра содержимого. Итого получаем - кучу ресурсов и соот-щих им групп. К КАЖДОМУ РЕСУРСУ ПРИВЯЗЫВАЕМ ТОЛЬКО ЭТИ ГРУППЫ, НИКАКОГО ПРЯМОГО НАЗНАЧЕНИЯ ПРАВ. А с друго стороны - кучу пользователей и соот-щих им групп, отражающих структуру организации. Далее просто - просто меняем членство в группах. Скажем, есть Иванов, он член группы "Менеджеры", имеет свою папку "Иванов". Создаем группу "Доступ к папке Иванов", даем ТОЛЬКО ЕЙ права на папку. А вот уже в эту группу включаем в эту группу самого Иванова и кого хотим. |
Dirk Diggler, тогда получается многа-многа шрупп? если пользователей 1000. И ещё, хотелось бы избежать "Фамилии" в названии групп.
|
Да, именно. А что поделаешь. Если данные уже занесены в АД, можно все делать скриптами.
Цитата:
|
Цитата:
|
А можно вопрос - почему именно без фамилий?
|
Цитата:
|
Цитата:
|
Oleg Krylov, структура, приведенная автором, очень похожа на ту, которая была у меня в бытность админом факультета в универе. Много потоков студентов, были папки с годом поступления и куча групп, внутри которых также была одна общая папка для группы и куча папок с фио, точнее с логином пользователя.
Помимо стандартных разрешений, было еще одно для ВСЕХ пользователей - список содержимого папки, т.е. корневой папки года поступления. В случае, если мне надо было дать доступ до папки другого пользователя, я просто на нужную папку руками выставлял ntfs разрешения нужному пользователю. Т.к. у пользователя было права на список содержимого папки, то до нее он достучаться мог, а после выставления прав еще и зайти в нужную. Мне кажется, такой вариант самый простой. |
Цитата:
Но тут затык: этож тыща ссылок... |
Имхо нет у вас другого способа, чем предлагаем вам я и Олег Крылов. Более того, эта схема рекомендуется собсно MS, я её из какой-то статьи почерпнул. Придумываете систему именования групп, и вперед.
ЗЫ. Разве что использовать продукты типа Shared Folders в эксченж или SharePoint. |
Время: 18:51. |
Время: 18:51.
© OSzone.net 2001-