Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2012/2012 R2 » 2012 R2 - Доступ в папки в домене и Владелец файла

Ответить
Настройки темы
2012 R2 - Доступ в папки в домене и Владелец файла

Пользователь


Сообщения: 131
Благодарности: 2

Профиль | Отправить PM | Цитировать


Добрый день!
Разъясните для меня такой вопрос:
есть домен, асть файловый сервер с общей папкой.
Доступ в папку:
Сетевой - Пользователи домена - на изменение. Все - удалены.
Безопасность - наследование снято, группа Пользователи - удалена. Админы сервера - полный доступ, Группа на чтение - разрешено чтение, Группа на запись - разрешено изменение. Группы доменные.

Теперь такая ситуация - Иванов был членом домена, и входил в группу на запись. Он насоздавал в этой папке подпапок и файлов в них. В чужих подпапках он тоже насоздавал файлов.
После этого Иванов переходит на работу в другой отдел, и его удаляют из группы на Запись, НО - его включают в группу на Чтение. Т.к. те файлы нужны ему по работе, чтобы находить в них информацию.

Итог - Иванов все равно будет иметь доступ на Изменение к тем папкам и файлам, которые создал сам, как владелец? Он ведь остается владельцем, так? Или я ошибаюсь?

Если доступ к тем файлам останется, то как его прекратить? Сделать владельцем всей общей папки Админов сервера (локальную учетку, или доменного)? Если так - то как же FSRM, который ограничивает файлы, например, по объему, ориентируясь на атрибут владельца?

Проясните этот пробел у меня. Заранее благодарен!

Отправлено: 12:22, 12-11-2020

 

Аватара для Anton04

Ветеран


Сообщения: 2054
Благодарности: 389

Профиль | Отправить PM | Цитировать


mcmurphy,

В Вашем случае нужно создавать жёсткие привязки и убрать не только наследование, но и группу "Создатель-владелец". И сделать это на головной папке и распространить на все подпапки. Тогда владельцем папки или файла будет группа в которой он состоит, а не сам пользователь.

-------
Слабый всю жизнь идёт лёгкой дорогой, черта сильного выбрать трудный путь.
Будь осторожен в своих желаниях, ибо они иногда сбываются.

Это сообщение посчитали полезным следующие участники:

Отправлено: 12:41, 12-11-2020 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Пользователь


Сообщения: 131
Благодарности: 2

Профиль | Отправить PM | Цитировать


Спасибо за ответ! Вижу такую группу - Создатель-владелец. А что значит - создавать жёсткие привязки? Или это удаление "Создатель-владелец" и есть?

Отправлено: 12:54, 12-11-2020 | #3


Аватара для Anton04

Ветеран


Сообщения: 2054
Благодарности: 389

Профиль | Отправить PM | Цитировать


Цитата mcmurphy:
А что значит - создавать жёсткие привязки »
Удаление всех групп и пользователей которые присутствую у данной папки/файла по умолчанию (кроме системы) и назначение своих групп.

Цитата mcmurphy:
Или это удаление "Создатель-владелец" и есть? »
И это удалять в том числе.

-------
Слабый всю жизнь идёт лёгкой дорогой, черта сильного выбрать трудный путь.
Будь осторожен в своих желаниях, ибо они иногда сбываются.


Отправлено: 17:55, 12-11-2020 | #4


Пользователь


Сообщения: 131
Благодарности: 2

Профиль | Отправить PM | Цитировать


Цитата Anton04:
И это удалять в том числе. »
Спасибо за советы. А как быть с учетом владения файлов, ведь теперь владельцем будет группа, и непонятно будет кто именно скопировал этот файл (кто владелец)? Или третьего не дано - или владельцем будет группа или пользователь, но тогда может быть проблема с доступом через владение?

Отправлено: 16:23, 25-11-2020 | #5


Аватара для Anton04

Ветеран


Сообщения: 2054
Благодарности: 389

Профиль | Отправить PM | Цитировать


Цитата mcmurphy:
А как быть с учетом владения файлов, ведь теперь владельцем будет группа, и непонятно будет кто именно скопировал этот файл (кто владелец)? »
Владелец группа. А кто скопировал это уже другой вопрос и к данной задаче отношения не имеет.

Цитата mcmurphy:
Или третьего не дано - или владельцем будет группа или пользователь»
Именно так.

Цитата mcmurphy:
но тогда может быть проблема с доступом через владение? »
Какая проблема если владелец группа!? Я тут не вижу проблем.

-------
Слабый всю жизнь идёт лёгкой дорогой, черта сильного выбрать трудный путь.
Будь осторожен в своих желаниях, ибо они иногда сбываются.


Отправлено: 18:37, 25-11-2020 | #6


Пользователь


Сообщения: 131
Благодарности: 2

Профиль | Отправить PM | Цитировать


Цитата Anton04:
Какая проблема если владелец группа!? Я тут не вижу проблем. »
Я имею в виду, что как же тогда отслеживать, кто создал файл (владелец-то будет группа). Не получиться это?

Отправлено: 17:29, 03-12-2020 | #7


Аватара для paranoya

Ветеран


Сообщения: 537
Благодарности: 113

Профиль | Отправить PM | Цитировать


Узнать кто создал файл легко - включаем файловый аудит на сервере и следим за этим. Как будет себя вести служба FSRM если убрать создатель-владелец? Она будет считать объём по группе владельцу.
Чтобы оставить создателя-владельца пользователем, но лишить его возможности редактировать есть четыре варианта:
  1. Пересмотреть структуру файлового сервера.
  2. Переделать NTFS ACL фактически использовав запрет на изменение для "группы чтения". Права с запретом имеют приоритет над правами разрешения.
  3. Ручной или автоматический запуск скрипта, изменяющего NTFS ACL каждый раз при перемещении юзера между группами.
  4. Использовать технологию DAC от Майкрософта.

-------
Он был расстроенным трупом и потратил две минуты впустую.


Последний раз редактировалось paranoya, 04-12-2020 в 10:20.


Отправлено: 10:10, 04-12-2020 | #8



Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2012/2012 R2 » 2012 R2 - Доступ в папки в домене и Владелец файла

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
CMD/BAT - CACLS Владелец папки , и как с этим бороться Win XP magarjoba Скриптовые языки администрирования Windows 10 07-04-2017 12:51
2008 R2 - win2008R2 слетел владелец на папки himp Windows Server 2008/2008 R2 2 20-12-2015 16:34
Доступ - [решено] У файла hosts правильный владелец или нет? rstp14 Microsoft Windows 8 и 8.1 2 16-07-2014 04:09
Ошибка - [решено] Не назначается владелец файла Hephaestus Microsoft Windows 2000/XP 2 12-06-2012 13:08
[решено] Windows 2003 | Владелец файла Crowner Microsoft Windows NT/2000/2003 9 14-09-2006 19:12




 
Переход