Общие папки Windows - Проблема с разрешениями на подпапку
Windows Server (любая версия), общая папка с подпапками, примерно так:
Department1
Jim
John
где Department1 - сетевой ресурс, а Jim / John - подпапки.
Я хочу, чтобы только Джим имеет право записи в папку «Джим» (т.е. только Джим может создавать файлы и папки в подпапке Джим), Предназначенный для доступа к папке будет чрезвычайно громоздким - их сотни.
Итак, мои вопросы:
Почему это происходит? Это нелогично - как только я даю NTFS доступ к содержимому папок со списком, этот пользователь также может читать, записывать, изменять файлы и папки - так ли это должно быть?
Есть ли простой способ настроить это так, чтобы оно работало должным образом? Я думаю об отключении наследования - но я хочу, чтобы любая подпапка Джима, которую он создает сам, наследовала разрешения папки Jim, произойдет ли это, даже если наследование отключено для общего ресурса?
Править
Предполагается, что доступ к папкам в приведенном выше примере всегда осуществляется с клиентского компьютера по сети в общую папку. (Я знаю, что сценарий будет другим, если Джим / Джон войдет на файловый сервер локально, но это не мой вопрос.)
Обновление
На основе комментария Эвана Андерсона я проверил все разрешения и нашел запись, унаследованная от разрешений безопасности самого жесткого диска. Это запись «специального разрешения» для «сервер \ пользователи», что, как я понимаю, означает локальных пользователей этого сервера. И эта запись дает доступ к созданию файлов и созданию папок, и унаследован от моих папок Department1 и Jim / John.
Я НЕ СОЗДАЛ ЭТУ ЗАПИСЬ. Кажется, это запись по умолчанию, созданная Windows на каждом диске на каждом сервере, который я просматривал.
Удаление этой записи изменяет действующие разрешения для Джима и Джона как в папке Department1, так и во вложенных папках, так что ошибочные CreateFolder и Разрешение CreateFile больше не применяется - это то, что я хотел. Итак, спасибо Эвану Андерсону.
Однако это открывает два новых вопроса:
К чему применяются записи server \ Users? Я считаю неправильным, что это относится только к локальным пользователям сервера. Джим и Джон являются именами домена и не существуют как локальные пользователи на сервере. Итак, правильно ли, что Server \ Users применяется ко всем без исключения пользователям сервера, независимо от того, вошли ли они в систему из сети или существуют как локальные пользователи на сервере?
Кажется, что каждый диск имеет эту специальную запись разрешения, которая затем наследуется для всех папок на этом диске - какова цель наличия каждого диска с запись по умолчанию CreateFile и CreateFolders для группы server \ users? Для меня это звучит как огромная невидимая ловушка для всех, кто пытается установить правильные разрешения для общих ресурсов Windows. (Если это правда, любое руководство действительно должно начинаться с предписания «удалить запись о разрешениях Server \ Users с вашего диска».)
Обновление 2
Я нашел следующие данные относительно группы Server \ Users в MSDN
«Когда компьютер присоединяется к домену, группа« Пользователи домена »добавляется к группе« Пользователи »на компьютере».
Это означает, что Джим и Джон входят в группу «Сервер \ Пользователи», и поэтому эти разрешения применяются. Итак, я ответил на вопрос 3, но вопрос 4 все еще остается - в этом должен быть какой-то смысл?
Благодаря комментарию Эвана Андерсона я проверил все разрешения и нашел запись, унаследованную от разрешений безопасности самого диска.
Это запись «специального разрешения» для «сервер \ пользователи». Эта запись дает доступ к созданию файлов и созданию папок и унаследована от моих папок Department1 и Jim / John.
Кажется, это запись по умолчанию, созданная Windows на каждом диске на каждом сервере, который я просматривал.
Вкл. В доменах Microsoft группа DomainUser автоматически добавляется в группу Server \ User, чтобы любой пользователь домена имел доступ для чтения и записи через разрешения NTFS - поэтому, если я даю разрешения общего доступа всем пользователям домена для доступа к общему ресурсу, это приводит к тому, что каждый пользователь, имеющий доступ для чтения и записи ко всем папкам в общей папке.
Эта запись по умолчанию существует во всех версиях сервера Windows и упрощает добавление / редактирование папок на сервере, когда вы вошли в систему локально.
Однако это создает указанную выше проблему. Мне пришлось бы установить определенные разрешения для общего доступа для определенных пользователей, но, очевидно, это не сработает для вложенных папок.
Удаление этой записи server \ user показывает, что, как я считаю, является причиной того, что Microsoft сохраняет эту запись до сих пор в своих списках контроля доступа по умолчанию. - в этот момент только группа администраторов имеет доступ к папке, а это означает, что каждое редактирование, каждый доступ (локально на сервере) вызывает всплывающее окно UAC, что очень раздражает.
(На сервере 2016 после удаления записи server \ user он спрашивает вас, хотите ли вы добавить свое имя пользователя, чтобы получить постоянный контроль над всеми папками. Это хороший обходной путь - он просто добавляет этого пользователя в списки ACL, которые затем не приносят
, я также рекомендую следовать очень хорошему ответу Эвана Андерссона здесь , на который он ссылается в своем комментарии и дает очень хорошие советы по настройке иерархии папок.
Согласно моему Руководству по изучению MCITP ( Server 2008 , так что это устаревший текст и примеры взяты непосредственно из этого учебника, все права защищены автором / издателем ):
- Права доступа наследуются
Например, если группе «Все» был предоставлен полный доступ к папке «Продажи», то группа «Все» будет иметь полный доступ к новому документу с именем FY08 в этой папке. (страница 287)
- Разрешения являются совокупными
В качестве примера представьте, что вы являетесь участником как группы продаж, так и группы маркетинга. Если группе «Продажи» предоставлено разрешение «Чтение» для папки, а группе «Маркетинг» предоставлено разрешение «Запись» в ту же папку, то ваши действующие разрешения будут «Чтение» и «Запись» - совокупные разрешения обеих групп. (страница 287)
- Запретить имеет приоритет
Например, если Джо было специально отказано в разрешении на запись в папке с именем «Продажи», но Джо был членом группы «Продажи», которой был предоставлен полный доступ к папке, Джо не мог писать в эту папку. (страница 287)
При объединении разрешений NTFS и общего ресурса необходимо определить совокупные разрешения как для разрешений NTFS, так и для разрешений на общий ресурс, а затем определить более ограничительное из двух.
Также важно помнить, что разрешения на общий ресурс являются применяется только при доступе к общему ресурсу по сети. Итак, если вы входите на файловый сервер как Джим, вы будете использовать исключительно разрешения NTFS (подключение без именования UNC).
Я бы попробовал применить разрешение List Contents к родительской папке, в этом случае Department1 и установите для соответствующих владельцев вложенных папок полный доступ. Это сделает список разрешений NTFS + Share List Contents, поскольку он является наиболее ограничительным. Вы также можете попробовать удалить наследование разрешений из вложенных папок.
Раньше я администрировал подобную настройку у предыдущего работодателя, но, хоть убей, не могу вспомнить точно , как мы решили Это. Но, возможно, сказанное выше будет вам полезно. Явного запрета всем другим пользователям, безусловно, следует избегать.
См. это также для более короткого объяснения NTFS и разрешений общего доступа.
РЕДАКТИРОВАТЬ: В качестве дополнения, наследование разрешений включено по умолчанию. Я бы подумал, что даже если вы отключите наследование для отдельных пользовательских папок, подпапки (например, Jim / Folder1) будут наследовать от их непосредственного родителя. Я могу поэкспериментировать с этим и вернуться к вам окончательно, если хотите.