Инструмент для управления общими папками Windows и их разрешениями
Я помню, что был инструмент для простого управления общими ресурсами для Windows. Но я ничего об этом не помню.
В моем случае в основном используется конфигурация, но в Windows очень сложно управлять разрешениями пользователей для общих ресурсов.
Допустим, у меня следующая структура и два пользователя.
Dropbox
- Папка A
- Папка B
- Папка C
- Общедоступная
Пользователь A должен иметь возможность редактировать все внутри папок A и C. Но не должен видеть и получать доступ к папке B и не должно быть возможности удалить папки A и C.
Пользователь B должен иметь такие же права доступа для папки B и не должен видеть A и C.
Общая папка должна быть доступна для всех, даже если это недавно созданная пользователь.
Папка Dropbox автоматически синхронизируется с Интернетом.
Windows становится очень запутанной и запутанной, когда я реализую разрешения в свойствах папки> безопасность> расширенное окно. Я не могу понять наследование и применить к дочерним объектам проверку.
И если я дам доступ пользователям в окне совместного доступа> общего доступа, это просто, но пользователь сможет удалить корневые папки, если у него есть право доступа к ним.
Обычно вы хотите применить свои ограничения на уровне NTFS. Сделайте свои разрешения ресурса настолько открытыми, насколько это возможно (т.е. 'Authenticated Users' или 'Everyone' изменяют доступ, как минимум), а затем закрепите их с помощью разрешений безопасности NTFS.
Я бы порекомендовал создать три группы безопасности для каждого ресурса (Read, Modify and Write), а затем назначить разрешения для них для этой папки. Затем вы добавляете пользователей и группы в эти группы для применения разрешений. Сохраняет необходимость редактировать права доступа к папкам каждый раз, когда пользователь меняет свою роль.
Если вы хотите скрыть папки, которые пользователи не видят, вам нужно включить опцию 'Access Based Enumeration', поэтому в вашем случае я бы:
- создал единый ресурс под названием 'Dropbox' и применил доступ на запись 'Everyone'
- Создайте соответствующие папки с тремя группами безопасности каждая (Чтение, Запись и Изменение), вы можете просто создать две (Чтение и Запись), если хотите упростить процесс.
- Назначьте группы папкам и дайте им указанные разрешения
- Перейдите в 'Server Manager' на файловом сервере и 'File and Storage Services --> Shares --> Щелкните правой кнопкой мыши на share --> Properties --> Settings --> Enable Access Based Enumeration'
Что делает ABE, так это скрывает любые ресурсы, к которым у пользователя нет доступа, по крайней мере, к 'Read / List' (Чтение, Запись и Запись).
EDIT:
Просто мысль, но применение разрешений Write or Modify на уровне корневой папки (т.е. Public в вашем примере) также позволит пользователям изменять родительскую папку. Поэтому кто-то может случайно переименовать 'Public' во что-то другое.
Чтобы обойти это, для групп с разрешениями на изменение (поэтому Write and Modify) установите отдельное разрешение на 'Read, write and execute' как 'Только эта папка', а затем получите разрешение 'Modify' Permissions 'Subfolders and files', например, наш привод отдела имеет следующее:
Значит, вы видите, что есть три ACL, но только две группы.
Первая группа:
FS.dep.Full. Information Systems - Modify - Subfolders and files
Что позволяет всем членам группы создавать и завершать все объекты под текущей папкой.
Вторая:
FS.dep.Full. Information Systems - Read and Execute - Эта папка только
Что позволяет группе только читать родительскую папку (Information Systems), но не вносить в нее изменений.
Затем:
FS.dep.Read.Information Systems - Modify - Эта папка, вложенные папки и файлы
Что дает доступ на чтение всем и каждому члену группы.
.