Задача: 1) Имеется файловый сервер с ОС Windows Server 2003 R2 (член домена). 2) На нем имеется общий ресурс с полным разрешением на уровне доступа для группы "Пользователи домена". 3) Дерево начинается с папки USERS, в которой на уровне безопасности даны наследуемые права на чтение группе "Пользователи домена". (полные права делят Администраторы (локальный и домена), SYSTEM и СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ ) 4) внутри этого контейнера есть папки пользователей, Например "Иван Иванов", "Петр Петров" и т.д. Для каждой из них в безопасности дописываются права каждому конкретному пользователю полные (не считая возможности изменения настроек безопасности) на эту папку и все вложенные, а так-же запрет на удаление этой конкретной папки. Пока все красиво, пользователи домена спокойно заходят и читают каталог, пользователь - для кторого создавался каталог волен делать с ним что заблагорассудится, но не может удалить сам каталог. Дальше интересней: 5) В каталоге пользователя создаем папку "ЛИЧНОЕ", из которой убираем все права для "Пользователи домена", остальные права на "ЛИЧНОЕ" наследуются из каталогов выше. В итоге получаем что пользователи домена, не имеют доступа в этот каталог даже на чтение, а Администраторы, SYSTEM, СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ, и пользователь для которого этот каталог создавался имеют полный доступ к нему. Но пользователь может этот каталог удалить, а нам это не надо. 6) Добавлем запрет на удаление папки ЛИЧНОЕ! В итоге все супер (почти), в личное никто кроме того кто надо не попадает, все что надо кто надо читает, чел для которого каталог создавался делает все что хочет в нем, НО он по-прежнему может УДАЛИТЬ каталог "ЛИЧНОЕ", а мы действием №6 поставили жесткий запрет ему на удаление этого каталога... Вопросы: 1) Почему имея жесткий запрет на уделение пользователь продолжает иметь право удалять каталог? 2) Где выход? (кроме использования UNIX и использования иной структуры дерева каталогов).
1) Читайте книжку по администрированию более внимательно; 2) Сходите на авторизованные курсы; 3) Наймите специалиста; 4) Позвоните в тех поддержку
БульЁн, Вас нанять? Или вы тут выпендриться решили? Пользы от вашего поста 0. А если сказать по теме нечего то и нефик клаву морать... добавлено через 30 минут Добавлю еще, что если посмотреть действующие разрешения (стандартная закладка винды для проверки) у папки "ЛИЧНОЕ" для интересующего нас пользователя, то разрешения на удаление объекта у него нет.
Права на удаление объектов в контейнере задаются для контейнера (т.е. вышестоящей папки). Вообще, это неправильное построение структуры, когда вложенный объект имеет более строгий доступ чем родитель, должно быть наоборот.
Права на удаление внутри контейнера, и самого контейнера это разные вещи, и права на уровне безопасности можно раздавать тремя способами: для самого контейнера, для содержимого контейнера, и для контейнера вместе с его содержимым. Есть наследование прав от вышестоящих контейнеров, но это наследование можно прервать в любой точке дерева и объявить новые права и правила наследования для любого объекта. Вы предлагаете начать с того чтобы закрыть доступ на первом уровне всем пользователям домена кроме одного, а потом чем глубже тем больше прав раздавать? Короче с правами доступа усе ништяк кто надо имеет доступ кто ненадо нет, но если у контейнера N стоит запрет на его удаление и работает как положено (только его самого а не входящих в него объектов) то такой-же запрет на контейнер уровня N+1 уже не действует, хотя винда сама рапортует что прав у пользователя на удаление контейнера нет. добавлено через 23 минуты И именно в этом-то и заключается проблема...
Могли бы книжку почитать... Уверен на 100% что это вы гдето накосячили на не ошибка в Виндовс. добавлено через 1 минуту Не уверен , раз возникла проблема... Я бы книжку почитал.. добавлено через 3 минуты Там есть такая интересная галочка - наследовать от родителя
Повторю еще раз. Это право называется "Удаление подпапок и файлов". Если оно включено, пользователь может удалять вложенные папки.
Запрет всегда выше разрешения и неважно на каком вышестоящем уровне пользователю давались разрешающие права. Если есть запрет то он выше всех разрешений даже если они даются в одном и том-же контейнере не говоря уж об наследовании от вышестоящих контейнеров (родителей). Мне не 14 лет, и даже не 24, и книжек я перечитал достаточно, и с логикой у меня тоже все нормально. Скажите в какой книжке описана моя ситуация, и я прислушаюсь вашего совета, а скупать все я не намерен.
Галочку запрет на удаление вообще ставить не нужно . Завтра после обеда напишу иерархию папок с правами доступа для каждой
Удачи! Итак, что нужно увидеть: Есть видимая по сети, доступная для чтения всем пользователям папка "1". Полными правами в этой паке обладают администраторы и один единственный пользователь не входящий в группу администраторы. Этот пользовтель не может удалить папку "1" но внутри ее волен делать все что захочет. В папке "1" администратор создает паку "2", к которой имеют полный доступ администраторы и тот-же единственный пользователь который имеет право рулить в паке "1" но этот пользователь также не имеет возможности (в отличае от админов) удалять папку "2". Все остальные пользователи не имеют прав доступа к папке "2" даже на чтение. добавлено через 56 минут panda-34, Прошу прощенья, вы абсолютно правы. "Удаление" и "Удаление подпапок и файлов" не одно и тоже. Я действительно просто забыл снять это разрешение и запрет на "Удаление" не противоречил разрешению на "Удаление подпапок и файлов". Магнитные бури наверно, бошка отказалась работать... Всем спасибо все работает!