Mam scenariusz dotyczący serwera plików systemu Windows, w którym „właściciel” chce przyznać uprawnienia grupie następujących użytkowników:
\\server\dir1\dir2\dir3
: czytaj, pisz i wykonuj\\server\dir1\dir2
: Brak uprawnień\\server\dir1
: Brak uprawnień\\server
: przeczytaj i uruchom
W moim rozumieniu ( aktualizacja : cały ten akapit jest nieprawidłowy!) Nie jest to możliwe, ponieważ należyRead & Execute
zezwolić na wszystkie katalogi nadrzędne w łańcuchu katalogów, aby system operacyjny mógł „zobaczyć” dziecko i przejdź do nich. Bez tego uprawnienia nie można nawet uzyskać tokenu kontekstu zabezpieczeń podczas próby uzyskania dostępu do zagnieżdżonego katalogu, nawet jeśli masz pełny dostęp do podkatalogu.
Szukamy sposobów na obejście tego problemu bez przenoszenia danych z \\server\dir1\dir2\dir3
do \\server\dir4
.
Jednym obejściem, o którym myślałem, ale nie jestem pewien, czy to zadziała, jest utworzenie pewnego rodzaju łącza lub skrzyżowania, \\server\dir4
które jest odniesieniem \\server\dir1\dir2\dir3
. Nie jestem pewien, która z dostępnych opcji (jeśli w ogóle) działałaby w tym celu, jeśli użytkownik nie ma Read & Execute
uprawnień \\server\dir1\dir2
lub \\server\dir1
, o ile wiem, są to następujące opcje:
- NTFS Link symboliczny,
- Węzeł,
- Twardy link.
Więc pytania:
- Czy którakolwiek z tych metod jest odpowiednia do osiągnięcia mojego celu?
- Czy istnieją inne metody linkowania lub pośredniego odwoływania się do katalogu, których nie wymieniłem powyżej, które mogą być odpowiednie?
- Czy istnieją jakiekolwiek bezpośrednie rozwiązania, które nie dotyczą przyznania
Read & Execute
się\\server\dir1
albo\\server\dir2
ale nadal umożliwiając dostęp do\\server\dir1\dir2\dir3
?
źródło
Odpowiedzi:
Mylisz się w swoim pierwotnym założeniu, które sprawia, że reszta twojego pytania jest dyskusyjna.
Pozwolenie minimum, które użytkownik musiałby on
dir1
idir2
jestTraverse Directory
. Jednak najprawdopodobniej będzie to stanowić problem dla użytkowników - dlatego polecamTraverse Directory
iList Folders
. Będą mogli poruszać się po dwóch najlepszych katalogach i dotrzeć dodir3
miejsca, w którym mają więcej uprawnień, ale nawet nie zobaczą, jakie pliki istnieją w dwóch najlepszych katalogach.Uprawnienia takie jak
Read & Execute
iModify
są tylko zbiorami indywidualnych uprawnień. Są pierwszą rzeczą, którą widzisz, ponieważ są najczęściej używane. Jeśli chcesz uzyskać bardzo szczegółowy (jak w tej sytuacji), kliknijAdvanced
przycisk i wejdź w opcje tam wymienione.źródło
O dziwo, jeśli dana osoba ma pełną ścieżkę do podfolderu, na którym ma co najmniej uprawnienia R, nie wymaga żadnych uprawnień do żadnego z folderów nadrzędnych, nawet przechodzenia. Mogą po prostu uzyskać do niego dostęp za pomocą UNC. (Muszą oczywiście mieć uprawnienia do odczytu udziału; po prostu nie w żadnym folderze powyżej poziomu, do którego chcą uzyskać dostęp).
Nie wierzyłem w to, kiedy mi powiedziano, ale testy to potwierdzają.
Jest to sprzeczne z tym, co myślałem, że wiem o uprawnieniach w świecie Windows i podejrzewam, że dla wielu będzie zaskoczeniem.
\ server \ folder1 \ folder2 \ folder3
Jeśli w ogóle nie ma żadnych uprawnień do Bilbo w folderze 1 i w folderze 2, ale Bilbo zmodyfikował (na przykład) w folderze 3, \ server \ folder1 \ folder2 \ folder3 zabierze go tam, nie ma problemu.
źródło
folder1
ma uprawnienia SHARE i są ustawione uprawnienia NTFS,folder3
więc to\\server\c$\folder1\folder2\folder3
nie zadziała.Jednym rozwiązaniem podobnym do MDMarra jest ustawienie uprawnień NTFS w następujący sposób:
W rezultacie użytkownik / grupa może odczytać każdy pojedynczy folder nadrzędny i przejść do folderu podrzędnego bez żadnych innych folderów lub plików.
źródło
Więc testowałem to w następującym środowisku, ponieważ chciałem uzyskać ostateczną, przetestowaną odpowiedź, na absolutnym minimum wymaganych uprawnień do prostego przeglądania folderów podczas przeglądania (tj. Za pomocą Eksploratora plików Windows). Oto wyniki dla tych, którzy chcą mocno zamknąć sprawy.
I nie sprawdzili to w jeszcze produkcji, aby zobaczyć, czy są jakieś dziwne efekty uboczne z paring w dół „standardowych” dobrze przetestowane prawa traversal szablon
... co jest w zasadzie zwykłymi uprawnieniami do „odczytu i wykonania” ograniczonymi do „tego folderu”. To powiedziawszy, testowanie na małą skalę było jak dotąd całkiem w porządku, ponieważ użytkownicy po prostu przenoszą, kopiują i usuwają pliki na serwerze, a użytkownicy całkowicie pracują z serwerowymi kopiami dokumentów itp.
Środowisko:
Wyniki:
Opcjonalnie : TraverseFolder - ExecuteFile
-> To opcjonalne zezwolenie ma znaczenie tylko wtedy, gdy prawo użytkownika Bypass Traverse Checking zostało wyraźnie zabronione, ponieważ jest domyślnie włączone w 99% przypadków. Innymi słowy, włączenie prawa użytkownika „Bypass Traverse Checking” (ujawnione w zasadach grupy, a nie w uprawnieniach do plików / folderów NTFS) całkowicie usuwa to uprawnienie i skutecznie włącza je domyślnie wszędzie. Uwaga: Nie testowałem, aby zobaczyć, czy wyraźne odrzucenie tego prawa z kolei powstrzymałoby prawo użytkownika Bypass Traverse Checking do działania w tym konkretnym przypadku, ale może).
Informacje dodatkowe: Prawo użytkownika „Bypass Traverse Checking” umożliwia komuś pasywne przejście do podfolderu, niezależnie od tego, ile poziomów ma on głębokość, do którego mają bezpośredni dostęp (tzn. Uprawnienia są ustawione dla tego pliku / folderu, ale niekoniecznie nigdzie indziej w dalszej części ścieżka do pliku).
źródło