Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)
-   -   Настройка доступа к общему ресурсу NTFS (http://forum.oszone.net/showthread.php?t=297157)

TwoThrones 19-03-2015 12:46 2484715
Настройка доступа к общему ресурсу NTFS
 
Доброго времени суток.
Имеется два сервера, КД и Файловый (1С), на обоях стоит Win64 Server 2008 Std SP2.
На сервере КД создал папку например: Общий ресурс, дал общий доступ группам Все (чтение+запись), Администраторы (полный доступ), после в настройках безопасности отключил унаследование и добавил группы System(полный доступ) , Администраторы (полный доступ), Пользователи (чтение). Далее в ней создал папку Бухгалтерия, так же в настройках безопасности отключил унаследование и добавил группы System(полный доступ) , Администраторы (полный доступ), Бухгалтеры (чтение+изменения).


- Общий ресурс
-> Бухгалтерия
-> Папка 1
-> Папка 2
-> Файл 1
-> Файл 2
Задача:
1. Пользователь не должен создавать папки или файлы в общем ресурсе.
2. Пользователь не должен удалять или переименовывать папку бухгалтерия.
3. Пользователь в папке бухгалтерия может делать что хочет ;)

Проблема в том что пользователь может спокойно удалить папку Бухгалтерия :(

Пробовал в настройках безопасности папки Бухгалтерия для группы Бухгалтеры убрать галочку Удаление и поставить Удаление подпапок и файлов, в итоге фигня получилось.
Пользователь пытается удалить папку Бухгалтерия, выдает ошибку (нельзя удалить нет прав бла бла), но при этом содержимое её все удалил. О_о

Подскажите пожалуйста в чем проблема, сорри если нубский вопрос.

El Scorpio 22-03-2015 14:24 2486030
Попробуйте использовать DFS
В этом случае вы создаёте виртуальную структуру папок любой сложности, а для каждой реальной папки создаёте скрытый сетевой каталог и привяжите его к ветке DFS

NRMS 22-03-2015 20:23 2486178
TwoThrones, сделай на данную папку для группы "бухгалтерия" следующие права:
1. В поле "применять" выбери "только для подпапок и файлов" и дай "полный доступ"
2. В поле "применять" выбери "только для этой папки" и дай все права кроме "полный доступ", "удаление", "смена владельца", "смена разрешений"
Т.е. во вкладке "разрешения" у тебя для группы "бухгалтерия" будет две записи. Одна с правами на саму папку, вторая на все что в ней.

TwoThrones 23-03-2015 16:05 2486511
Цитата:
Цитата NRMS
TwoThrones, сделай на данную папку для группы "бухгалтерия" следующие права:
1. В поле "применять" выбери "только для подпапок и файлов" и дай "полный доступ"
2. В поле "применять" выбери "только для этой папки" и дай все права кроме "полный доступ", "удаление", "смена владельца", "смена разрешений"
Т.е. во вкладке "разрешения" у тебя для группы "бухгалтерия" будет две записи. Одна с правами на саму папку, вторая на все что в ней. »
Попробовал, все равно получается так

Цитата:
Цитата TwoThrones
Пользователь пытается удалить папку Бухгалтерия, выдает ошибку (нельзя удалить нет прав бла бла), но при этом содержимое её все удалил. »

NRMS 23-03-2015 21:49 2486647
TwoThrones, а icacls.exe "путь к папке" и whoami /groups от имени нужного пользователя что говорят?

TwoThrones 24-03-2015 13:27 2486879
На сервере КД
icacls.exe
Microsoft Windows [Версия 6.0.6002]
(C) Корпорация Майкрософт, 2006. Все права защищены.

C:\Users\Администратор>icacls.exe "D:\Общий ресурс"
D:\Общий ресурс Все: (OI)(CI)(RX)
CORP\Администратор: (OI)(CI)(F)
BUILTIN\Администраторы: (OI)(CI)(F)
BUILTIN\Пользователи: (OI)(CI)(RX)

Успешно обработано 1 файлов; не удалось обработать 0 файлов

C:\Users\Администратор>icacls.exe "D:\Общий ресурс\Бухгалтерия"
D:\Общий ресурс\Бухгалтерия CORP\Администратор: (OI)(CI)(F)
BUILTIN\Администраторы: (OI)(CI)(F)
CORP\Бухгалтеры: (OI)(CI)(IO)(F)
CORP\Бухгалтеры: (RX,W,DC)

Успешно обработано 1 файлов; не удалось обработать 0 файлов

C:\Users\Администратор>

whoami /groups
Microsoft Windows [Версия 6.0.6002]
(C) Корпорация Майкрософт, 2006. Все права защищены.

C:\Users\Test>whoami /groups

Сведения о группах
-----------------

Группа Тип SID
Атрибуты

=============================================== ======================= ========
===================================== ==========================================
===================
Все Хорошо известная группа S-1-1-0 Обязательная группа, Включены по умолчанию, Включенная группа
BUILTIN\Пользователи Псевдоним S-1-5-32-545 Обязательная группа, Включены по умолчанию, Включенная группа
BUILTIN\Доступ DCOM службы сертификации Псевдоним S-1-5-32-574 Обязательная группа, Включены по умолчанию, Включенная группа
BUILTIN\Пред-Windows 2000 доступ Псевдоним S-1-5-32-554 Группа, используемая только для запрета
NT AUTHORITY\REMOTE INTERACTIVE LOGON Хорошо известная группа S-1-5-14 Обязательная группа, Включены по умолчанию, Включенная группа
NT AUTHORITY\ИНТЕРАКТИВНЫЕ Хорошо известная группа S-1-5-4 Обязательная группа, Включены по умолчанию, Включенная группа
NT AUTHORITY\Прошедшие проверку Хорошо известная группа S-1-5-11 Обязательная группа, Включены по умолчанию, Включенная группа
NT AUTHORITY\Данная организация Хорошо известная группа S-1-5-15 Обязательная группа, Включены по умолчанию, Включенная группа
ЛОКАЛЬНЫЕ Хорошо известная группа S-1-2-0 Обязательная группа, Включены по умолчанию, Включенная группа
CORP\Бухгалтеры Группа S-1-5-21-1289929163-1328601172-188997710-1184 Обязательная группа, Включены по умолчанию, Включенная группа
Обязательная метка\Средний обязательный уровень Неизвестный тип SID S-1-16-8192 Обязательная группа, Включены по умолчанию, Включенная группа

C:\Users\Test>

На рабочей станции
whoami /groups

Microsoft Windows XP [Версия 5.1.2600]
(С) Корпорация Майкрософт, 1985-2001.

C:\Documents and Settings\Test>whoami /groups

[Group 1] = "CORP\"
[Group 2] = ""
[Group 3] = "BUILTIN\"
[Group 4] = "NT AUTHORITY\"
[Group 5] = "NT AUTHORITY\"
[Group 6] = ""
[Group 7] = "CORP\"

C:\Documents and Settings\Test>


Время: 03:11.

Время: 03:11.
© OSzone.net 2001-