Хотя это не совсем та же ситуация и не меняется со стороны Windows, это то, что мы сделали. Опять же, это не поможет для фактического изменения разрешений, но, надеюсь, это поможет в любом случае.
У нас была конфиденциальная папка, в которую мы хотели, чтобы одни пользователи писали в нее, а другие читали из Это. Мы создали две группы: groupread
и groupwrite
. Мы переместили
папку в группу groupread
и назначили ей chmod 2770
, полностью вниз. Затем мы создали следующую папку под ней, в которой были данные, которые должны были быть ограничены только для записи, и chown groupwrite
папка, права доступа chmod 2775
, чтобы люди с доступом только для чтения также можно прочитать его.
В файле /etc/samba/smb.conf
мы добавили объявление общего ресурса наследуемых разрешений = yes
, и не выполняли принудительное group
или что-нибудь еще, на этом общем ресурсе . Таким образом, пользователи, которым требуется доступ к нему для чтения, находятся в группе чтения; все, кому нужно написать, находятся в обеих группах.
наследуемых разрешений = да
и не выполняли принудительную группу
или что-либо еще, для этого общего ресурса . Таким образом, пользователи, которым требуется доступ к нему для чтения, находятся в группе чтения; все, кому нужно написать, находятся в обеих группах. мы добавили объявление общего ресурса наследуемых разрешений = да
и не выполняли принудительную группу
или что-либо еще, для этого общего ресурса . Таким образом, пользователи, которым требуется доступ к нему для чтения, находятся в группе чтения; все, кому нужно написать, находятся в обеих группах. Это действительно сложно. Недавно я решил эту проблему с помощью этого свойства общего ресурса
force group = <some_group>
, а затем создал совершенно разные общие ресурсы для каждой папки, которой требуются эти разрешения, и разрешил подключаться только тем группам AD, которые должны иметь доступ к этой локальной группе. Все файлы в этой папке получают правильную группу, установленную при создании.
Когда мне это сойдет с рук, я определяю все свои группы в AD, что означает, что и клиент Windows, и сервер Linux знают, о чем я говорю.
Если вы еще этого не сделали, я бы также предложил использовать пакеты Samba Centrify и Centrify для интеграции с AD.