1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie. Узнать больше.

Windows Server 2003 R2 и настройки доступа на уровне безопасности

Тема в разделе "Софт", создана пользователем LIN Gosha LIN, 15.12.08.

  1. LIN Gosha LIN

    LIN Gosha LIN Участник

    295
    0
    Задача:
    1) Имеется файловый сервер с ОС Windows Server 2003 R2 (член домена).
    2) На нем имеется общий ресурс с полным разрешением на уровне доступа для группы "Пользователи домена".
    3) Дерево начинается с папки USERS, в которой на уровне безопасности даны наследуемые права на чтение группе "Пользователи домена". (полные права делят Администраторы (локальный и домена), SYSTEM и СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ )
    4) внутри этого контейнера есть папки пользователей, Например "Иван Иванов", "Петр Петров" и т.д. Для каждой из них в безопасности дописываются права каждому конкретному пользователю полные (не считая возможности изменения настроек безопасности) на эту папку и все вложенные, а так-же запрет на удаление этой конкретной папки.

    Пока все красиво, пользователи домена спокойно заходят и читают каталог, пользователь - для кторого создавался каталог волен делать с ним что заблагорассудится, но не может удалить сам каталог. Дальше интересней:

    5) В каталоге пользователя создаем папку "ЛИЧНОЕ", из которой убираем все права для "Пользователи домена", остальные права на "ЛИЧНОЕ" наследуются из каталогов выше.

    В итоге получаем что пользователи домена, не имеют доступа в этот каталог даже на чтение, а Администраторы, SYSTEM, СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ, и пользователь для которого этот каталог создавался имеют полный доступ к нему. Но пользователь может этот каталог удалить, а нам это не надо.

    6) Добавлем запрет на удаление папки ЛИЧНОЕ!

    В итоге все супер (почти), в личное никто кроме того кто надо не попадает, все что надо кто надо читает, чел для которого каталог создавался делает все что хочет в нем, НО он по-прежнему может УДАЛИТЬ каталог "ЛИЧНОЕ", а мы действием №6 поставили жесткий запрет ему на удаление этого каталога...

    Вопросы:

    1) Почему имея жесткий запрет на уделение пользователь продолжает иметь право удалять каталог?
    2) Где выход? (кроме использования UNIX и использования иной структуры дерева каталогов).
     
  2. БульЁн

    БульЁн Активный участник

    1.241
    0
    1) Читайте книжку по администрированию более внимательно;
    2) Сходите на авторизованные курсы;
    3) Наймите специалиста;
    4) Позвоните в тех поддержку
     
  3. LIN Gosha LIN

    LIN Gosha LIN Участник

    295
    0
    БульЁн,
    Вас нанять? Или вы тут выпендриться решили?
    Пользы от вашего поста 0. А если сказать по теме нечего то и нефик клаву морать...

    добавлено через 30 минут
    Добавлю еще, что если посмотреть действующие разрешения (стандартная закладка винды для проверки) у папки "ЛИЧНОЕ" для интересующего нас пользователя, то разрешения на удаление объекта у него нет.
     
  4. panda-34

    panda-34 Активный участник

    1.589
    0
    Права на удаление объектов в контейнере задаются для контейнера (т.е. вышестоящей папки). Вообще, это неправильное построение структуры, когда вложенный объект имеет более строгий доступ чем родитель, должно быть наоборот.
     
  5. LIN Gosha LIN

    LIN Gosha LIN Участник

    295
    0
    Права на удаление внутри контейнера, и самого контейнера это разные вещи, и права на уровне безопасности можно раздавать тремя способами: для самого контейнера, для содержимого контейнера, и для контейнера вместе с его содержимым. Есть наследование прав от вышестоящих контейнеров, но это наследование можно прервать в любой точке дерева и объявить новые права и правила наследования для любого объекта.
    Вы предлагаете начать с того чтобы закрыть доступ на первом уровне всем пользователям домена кроме одного, а потом чем глубже тем больше прав раздавать? :)

    Короче с правами доступа усе ништяк кто надо имеет доступ кто ненадо нет, но если у контейнера N стоит запрет на его удаление и работает как положено (только его самого а не входящих в него объектов) то такой-же запрет на контейнер уровня N+1 уже не действует, хотя винда сама рапортует что прав у пользователя на удаление контейнера нет.

    добавлено через 23 минуты
    И именно в этом-то и заключается проблема...
     
  6. БульЁн

    БульЁн Активный участник

    1.241
    0


    Могли бы книжку почитать...

    Уверен на 100% что это вы гдето накосячили на не ошибка в Виндовс.

    добавлено через 1 минуту
    Не уверен , раз возникла проблема...
    Я бы книжку почитал.. :)

    добавлено через 3 минуты
    Там есть такая интересная галочка - наследовать от родителя
     
  7. panda-34

    panda-34 Активный участник

    1.589
    0
    Повторю еще раз.
    Это право называется "Удаление подпапок и файлов". Если оно включено, пользователь может удалять вложенные папки.
     
  8. LIN Gosha LIN

    LIN Gosha LIN Участник

    295
    0
    Запрет всегда выше разрешения и неважно на каком вышестоящем уровне пользователю давались разрешающие права. Если есть запрет то он выше всех разрешений даже если они даются в одном и том-же контейнере не говоря уж об наследовании от вышестоящих контейнеров (родителей).
    Мне не 14 лет, и даже не 24, и книжек я перечитал достаточно, и с логикой у меня тоже все нормально. Скажите в какой книжке описана моя ситуация, и я прислушаюсь вашего совета, а скупать все я не намерен.
     
  9. panda-34

    panda-34 Активный участник

    1.589
    0
    Третий раз не буду повторять.
    Присоединяюсь к советам БульЁна.
     
  10. БульЁн

    БульЁн Активный участник

    1.241
    0
    Галочку запрет на удаление вообще ставить не нужно :).

    Завтра после обеда напишу иерархию папок с правами доступа для каждой :)
     
  11. LIN Gosha LIN

    LIN Gosha LIN Участник

    295
    0
    Удачи!
    Итак, что нужно увидеть:
    Есть видимая по сети, доступная для чтения всем пользователям папка "1". Полными правами в этой паке обладают администраторы и один единственный пользователь не входящий в группу администраторы. Этот пользовтель не может удалить папку "1" но внутри ее волен делать все что захочет.
    В папке "1" администратор создает паку "2", к которой имеют полный доступ администраторы и тот-же единственный пользователь который имеет право рулить в паке "1" но этот пользователь также не имеет возможности (в отличае от админов) удалять папку "2". Все остальные пользователи не имеют прав доступа к папке "2" даже на чтение.

    добавлено через 56 минут
    panda-34,
    Прошу прощенья, вы абсолютно правы. "Удаление" и "Удаление подпапок и файлов" не одно и тоже. Я действительно просто забыл снять это разрешение и запрет на "Удаление" не противоречил разрешению на "Удаление подпапок и файлов". Магнитные бури наверно, бошка отказалась работать...

    Всем спасибо все работает!:shuffle:
     
  12. БульЁн

    БульЁн Активный участник

    1.241
    0
    :)