Üst dizinlere erişim vermeden bir alt dizine erişim izni verme


12

"Sahip" aşağıdaki türden bir grup kullanıcı için izinleri yapmak istediği bir Windows dosya sunucusu içeren bir senaryo var:

  • \\server\dir1\dir2\dir3: okuma, yazma ve yürütme
  • \\server\dir1\dir2: izin yokmu
  • \\server\dir1: izin yokmu
  • \\server: okuma ve yürütme

Anladığım kadarıyla ( Güncelleme : Bu paragrafın tamamı yanlış!), İşletim sisteminin alt öğeyi "görebilmesi" için bir dizin zincirindeki tüm üst dizinlere Read & Executeizin verilmesi gerektiğinden bunu yapmak mümkün değildir. dizinler ve onlara ulaşmak. Bu izni olmadan, hatta can not almak sen alt dizinine tam erişim hakkına sahip olsa bile, iç içe dizin erişmeye çalışırken belirteci güvenlik bağlamını.

Verileri 'den' \\server\dir1\dir2\dir3e taşımadan bu sorunu aşmanın yollarını arıyoruz \\server\dir4.

Düşündüğüm bir çözüm, ancak işe yarayıp yaramayacağından emin değilim \\server\dir4, bir referans olan bağlantı veya kavşak türünü oluşturmaktır \\server\dir1\dir2\dir3. Kullanıcının Read & Executeüzerinde izni \\server\dir1\dir2yoksa veya \\server\dir1bildiğim kadarıyla seçenekler şunlardır: Mevcut seçeneklerden hangisinin (varsa) bu amaç için çalışacağından emin değilim :

  • NTFS Sembolik Bağlantısı,
  • Kavşak noktası,
  • Sabit Bağlantı.

Yani sorular:

  • Bu yöntemlerden herhangi biri hedefime ulaşmak için uygun mu?
  • Yukarıda listelemediğim, uygun olabilecek bir dizine bağlantı vermek veya dolaylı olarak başvurmak için başka yöntemler var mı?
  • Herhangi var mıdır doğrudan verilmesi içermeyen çözümler Read & Executeiçin \\server\dir1ya \\server\dir2ama hala erişime izin \\server\dir1\dir2\dir3?

Bu mümkün. Kullanıcı dizini görür, ancak okuma izni verilmezse, dizinin içeriğini hiç göremez, kurulumu yeterince kolaydır.
Ramhound

Benim de sorum buydu. Tartışmayı gündeme getirdiğin için teşekkürler. Sorunuzu, varsayımınızın yanlış olduğunu hemen yansıtacak şekilde güncellemek için.
tyron

Yanıtlar:


15

Sorunuzun geri kalanını tartışmaya sokan orijinal varsayımınızda yanılıyorsunuz.

Bir kullanıcı ihtiyacı olacağını asgari izni dir1ve dir2olduğunu Traverse Directory. Bu büyük olasılıkla kullanıcılarınız için sorunlu olacaktır - bu yüzden tavsiye ederim Traverse Directory ve List Folders . İlk iki dizinde gezinebilecek ve daha dir3fazla izinleri olan yerlere ulaşabilecekler , ancak ilk iki dizinde hangi dosyaların var olduğunu görmeyecekler.

İzinler gibi Read & Executeve Modifyizinlerden sadece koleksiyonları. Gördüğünüz ilk şey onlar, çünkü en çok kullanılanlar. Çok ayrıntılı olmanız gerekiyorsa (bu durum gibi), Advanceddüğmeyi tıklayın ve orada listelenen seçeneklere gidin.


Mükemmel bilgi (2)! Ancak yakalamadığım bir şey var: "Bu, büyük olasılıkla kullanıcılarınız için sorunlu olacaktır". Neden sorunlu olsun ki? Adlandırma, "Traverse" in gereken tek izin gibi göz önüne alındığında oldukça basittir. Kullanıcılar ne tür problemler beklemeli?
tyron

12

Şaşırtıcı bir şekilde, eğer birey en az R izinlerine sahip oldukları bir alt klasöre giden tam yola sahipse, üst klasörlerin hiçbirinde geçiş bile değil NO izinleri gerektirir. UNC'yi kullanarak kolayca erişebilirler. (Tabii ki, paylaşım üzerinde okuma izinlerine sahip olmalıdırlar; erişmek istedikleri seviyenin üzerindeki klasörlerde değil).

Bana söylendiğinde buna inanmadım, ama testler bunu kanıtlıyor.

Bu, Windows dünyasındaki izinleri bildiğimi düşündüğümün aksine ve birçokları için sürpriz olacağını düşünüyorum.

\ Sunucu \ klasör1 \ klasor2 \ folder3

Klasör1'de ve klasör2'de Bilbo için hiç izin yoksa, ancak Bilbo klasör3'te (örneğin) değişiklik yaptıysa, \ sunucu \ klasör1 \ klasör2 \ klasör3 onu oraya götürür, sorun değil.


Bu folder1, SHARE izinleri ve NTFS izinleri ayarlandığında çalışır folder3Bu yüzden \\server\c$\folder1\folder2\folder3çalışmaz.
user2304170

1
Bu cevaba eklemek için, erişiminiz olan bir alt klasöre ana klasörleri geçirme konusundaki bu örtük "yetenek", çoğu / tüm kullanıcılar için varsayılan olarak Grup İlkesinde verilen "Geçiş Denetimini Atla" adlı kullanıcı hakkı tarafından verilir. çoğu durumda. Hangi şartlarda izin alanların listesini yakalamak için buraya yeterince yapıştıramadığım için itprotoday.com/management-mobility/… adresine bakın .
Kale

Geçiş Kontrolü'nü bir hak olarak atla, ayrıca istenen son klasörü / dosyayı açma yolundaki ağaçtaki her klasörün izinlerini atlamaya izin vermek için bir NTFS performans iyileştirmesi de vardır, bu nedenle ihtiyacınız olduğunu bilmedikçe kaldırmanız önerilmez. yüksek güvenlik seviyesi.
Kale

1

MDMarra'ya benzer bir çözüm NTFS izinlerini şu şekilde ayarlamaktadır:

  1. dir1 : Klasör Listesini İçeriği Ver ( Klasörü gez / dosya çalıştır, Klasör / okuma verisi, Öznitelikleri oku, Genişletilmiş öznitelikleri oku, Okuma izinleri)
  2. ANCAK Bu klasörü yalnızca Açılanlara uygula için seçin
  3. dir2 : Klasör Listesini İçeriği Ver ve Yalnızca Bu Klasöre Uygula
  4. dir3 : İstenen Okuma / Yazma izinlerini ver ve Bu klasöre, alt klasörlere ve dosyalara ya da yalnızca Alt klasörlere ve dosyalara uygula

Sonuçta kullanıcı / grup, her bir üst klasörü okuyabilir ve başka klasörler veya dosyalar olmadan alt klasöre inebilir.


Bu değil benzer MDMarra cevabı için ise daha ayrıntılı olarak dile MDMarra cevabı.
Scott

0

Bu yüzden aşağıdaki ortamda test ediyorum, klasörlere göz atarak (yani Windows Dosya Gezgini aracılığıyla) basitçe dolaşmak için gerekli minimum izinlerde son, test edilmiş bir cevap almak istedim. İşte işleri sıkıca kilitlemek isteyenler için sonuçlar.

Ben var değil "standart" iyi yapılmasıdır geçişi hakları şablon soyma herhangi tuhaf yan etkileri olup olmadığını görmek için henüz üretimde bu test

  • Klasörü Gez
  • Liste Klasörü
  • Öznitelikleri Oku
  • Ext. Öznitellikler
  • Okuma İzinleri

... sadece "Bu Klasör" ile sınırlı normal "Okuma ve Yürütme" izinleri. Bununla birlikte, küçük ölçekli testler, sunucudaki dosyaları yalnızca hareket ettiren, kopyalayan ve kaldıran kullanıcılar ve dokümanların sunucu kopyalarından tamamen çalışan kullanıcılar için şimdiye kadar tamamen iyi olmuştur.


Çevre:

  • Sunucu : Windows 2008 R2 - Grup İlkesi'nden çok az, kullanıcı hakları ile ilgili hiçbir şey değişmedi, bir etki alanı denetleyicisi olarak yapılandırıldı, AD ile tümleşik DNS, çok standart / temel kurulum.
  • İstemci : Windows 7 SP1 - Sunucuya bağlantının her seferinde tamamen yeniden oluşturulmasını sağlamak için herhangi bir değişiklik arasında yeniden başlatılan bir VM'de temiz yükleme.
  • Her iki kurulum da en az 2017'nin sonlarına yama yaptı, bu nedenle Windows zaman çizelgesinde bu noktada çok pişmiş olan izinlerle ilgili her şey için geçerli.
  • Bu, VM'de kalıcı bir ağ sürücüsü (\ server \ share -> S :) olarak bağlı paylaşılan bir klasöre erişiyordu. Paylaşım izinleri, test kullanıcısını ve bir noktada erişmesi gereken diğer tüm kullanıcıları kapsayan Kimliği Doğrulanmış Kullanıcılar grubu için Okuma + Değiştirme grubudur.
  • Her değişiklikten sonra VM'yi yeniden başlatacağım, Dosya Gezgini'ni açacağım ve paylaşıma normal olarak göz atacağım, test kullanıcısının bu geçiş haklarına sahip olmadığı vs üzerinde bu geçiş haklarına sahip olduğunu bildiğim bir yoldan geçtim.

Sonuçlar:

  • Kök Klasörde Gerekli : ListFolder-ReadData + ReadAttributes (2x izin)
  • Alt Klasörlerde Gerekli : ListFolder-ReadData (1x izin)
  • İsteğe bağlı : TraverseFolder - ExecuteFile

    -> Bu isteğe bağlı izin yalnızca Çapraz Geçiş Denetleme Kullanıcısını Atla hakkının, koşulların% 99'unda varsayılan olarak açık olduğu için açıkça izin verilmediği durumlarda önemlidir. Başka bir deyişle, etkinleştirilen "Çapraz Geçiş Denetimini Atla" kullanıcı hakkı (NTFS dosya / klasör izinlerinde değil, Grup İlkesinde gösterilmektedir) bu ayrıcalığı tamamen ortadan kaldırır ve bu ayrıcalığı varsayılan olarak her yerde etkin hale getirir. Not: Bu hakkın açık bir şekilde reddedilmesinin sırayla Çapraz Geçiş Denetimini Atla kullanıcı hakkının o örnekte etkili olmasını engelleyip engellemediğini test etmedim, ancak olabilir).

Tamamlayıcı Bilgi: "Çapraz Geçişi Kontrol Etme" kullanıcı hakkı, birisinin bir alt klasöre pasif olarak geçmesine izin verir, ancak birçok düzey derinliğinde, doğrudan erişime sahip olurlar (yani izinler bu dosya / klasörde ayarlanır, ancak başka bir yerde olması gerekmez) dosya yolu).

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.