У меня есть сценарий, включающий файловый сервер Windows, где «владелец» хочет выдать разрешения группе пользователей следующего вида:
\\server\dir1\dir2\dir3
: читать, писать и выполнять\\server\dir1\dir2
: нет разрешений\\server\dir1
: нет разрешений\\server
: прочитать и выполнить
Насколько я понимаю ( Обновление : весь этот абзац неправильный!), Это невозможно сделать, потому что Read & Execute
разрешение должно быть предоставлено всем родительским каталогам в цепочке каталогов, чтобы операционная система могла «видеть» дочерний элемент. каталоги и добраться до них. Без этого разрешения вы даже не сможете получить маркер контекста безопасности при попытке доступа к вложенному каталогу, даже если у вас есть полный доступ к подкаталогу.
Мы ищем способы обойти это, не перемещая данные из \\server\dir1\dir2\dir3
в \\server\dir4
.
Один из обходных путей, о котором я подумал, но в котором я не уверен, сработает ли он, - это создание какой-то ссылки или перехода, на \\server\dir4
который есть ссылка \\server\dir1\dir2\dir3
. Я не уверен, какой из доступных вариантов (если таковые имеются) будет работать для этой цели, если у пользователя нет Read & Execute
разрешения на \\server\dir1\dir2
или \\server\dir1
, но, насколько я знаю, эти параметры следующие:
- Символическая ссылка NTFS,
- Junction,
- Жесткая ссылка.
Итак, вопросы:
- Подходят ли какие-либо из этих методов для достижения моей цели?
- Существуют ли другие способы ссылки или косвенной ссылки на каталог, которые я не перечислил выше, которые могут подойти?
- Существуют ли какие - либо прямые решения , которые не связаны с предоставлением
Read & Execute
к\\server\dir1
или ,\\server\dir2
но все же разрешить доступ к\\server\dir1\dir2\dir3
?
источник
Ответы:
Вы ошибаетесь в своем первоначальном предположении, что делает остальную часть вашего вопроса тоо.
Минимальное разрешение, которое потребуется пользователю
dir1
иdir2
естьTraverse Directory
. Это, скорее всего, будет проблематично для ваших пользователей, поэтому я бы порекомендовалTraverse Directory
иList Folders
. Они смогут перемещаться по двум верхним каталогам и переходить туда,dir3
где у них больше разрешений, но даже не будут видеть, какие файлы существуют в двух верхних каталогах.Разрешения, как
Read & Execute
иModify
просто коллекции отдельных разрешений. Это первое, что вы видите, потому что они чаще всего используются. Если вам нужно очень детализировать (например, в этой ситуации), нажмитеAdvanced
кнопку и найдите опции, перечисленные там.источник
Удивительно, но если у человека есть полный путь к подпапке, для которой у него есть как минимум права доступа R, ему не требуются права доступа ни к одной из родительских папок, даже к обходу. Они могут просто получить к нему доступ с помощью UNC. (Конечно, они должны иметь разрешения на чтение для общего ресурса; только не для папок выше уровня, к которому они хотят получить доступ).
Я не поверил этому, когда мне сказали, но тестирование доказывает это.
Это противоречит тому, что я думал о разрешениях в мире Windows, и я подозреваю, что это станет сюрпризом для многих.
\ Сервер \ folder1 \ folder2 \ folder3
Если для Бильбо нет никаких разрешений для папки 1 и для папки 2, но Бильбо должен изменить (например) для папки 3, то \ server \ folder1 \ folder2 \ folder3 сразу же доставит его, нет проблем.
источник
folder1
имеет разрешение на доступ и разрешение NTFS установлены наfolder3
Так что это\\server\c$\folder1\folder2\folder3
не будет работать.Одно решение, подобное MDMarra, устанавливает разрешения NTFS следующим образом:
В результате пользователь / группа может прочитать каждую отдельную родительскую папку и перейти к дочерней папке без каких-либо других папок или файлов.
источник
Поэтому я тестировал это в следующей среде, так как хотел получить окончательный, проверенный ответ с минимально необходимыми разрешениями для простого обхода папок с помощью просмотра (т. Е. С помощью проводника Windows). Вот результаты для тех, кто хочет все закрыть.
Я еще не проверял это на производстве, чтобы увидеть, есть ли какие-то странные побочные эффекты при сравнении «стандартного» хорошо проверенного шаблона прав на обход
... что в основном является обычным разрешением «Чтение и выполнение», ограниченным «Эта папка». Тем не менее, мелкомасштабное тестирование до сих пор было вполне приемлемым для пользователей, которые просто перемещали, копировали и удаляли файлы на сервере, а пользователи полностью отрабатывали копии документов на сервере и т. Д.
Окружающая обстановка:
Результаты:
Необязательно : TraverseFolder - ExecuteFile
-> Это необязательное разрешение имеет значение только в том случае, если права пользователя обходной проверки хода явно запрещены, так как оно включено по умолчанию в 99% случаев. Иными словами, включенное право пользователя «Обход обхода» (предоставляется в групповой политике, а не в разрешениях файлов / папок NTFS) полностью устраняет эту привилегию и эффективно делает эту привилегию включенной везде по умолчанию. Примечание. Я не проверял, не приведет ли явное отрицание этого права, в свою очередь, к прекращению действия права «Проверка обхода» в данном конкретном случае, но это может произойти).
Дополнительная информация. Право пользователя «Обход обхода» позволяет кому-либо пассивно переходить к подпапке, сколь угодно глубокой, к которой у него есть доступ напрямую (т. Е. Разрешения устанавливаются для этого файла / папки, но не обязательно где-либо еще дальше). путь к файлу).
источник