Действительно ли возможно ограничить выполнение .exe на сетевом диске с Windows 7?

Мы проходим это сейчас. Насколько я знаю, что нет никаких драйверов файловой системы для NSS ни на какой платформе Windows. В непосредственном термине мы загружаем стек CIFS на наших серверах NetWare, который позволяет нашим серверам Windows говорить с ними без клиента Novell, превращающего в творог сетевой стек. Затем мы выполняем ряд сценариев для миграции доверенных сторон.

Загрузка "TRUSTEE.NLM" на сервере даст Вам очень, очень удобный дамп прав присвоенных доверенных сторон на объеме.

trustee /edt save DATA1: sys:/tmp/metadata.log

Это выведет и Доверенную сторону и данные квоты каталога в файл журнала, на который можно затем выполнить Обряды Сценариев. Каковы те сценарии, ваше дело. Somethings Вам будет нужно:

  • Надежный способ перевести группы Novell в AD группы. Это может быть справочной таблицей некоторого вида или предсказуемым именем
    • Возможность состоит в том, чтобы переместить все Ваши группы Novell в AD и соглашение с преобразованием Ваших названий группы к чему-то более стандартизированному 'позже'.
  • Структура каталогов на месте. ROBOCOPY имеет очень хорошие варианты для этого. Еще не копируйте файлы, делайте это длится.
  • Сценарий читает файл metadata.log и применяет полномочия NTFS к корректным каталогам. Учет того факта, что NTFS и полномочия NSS не являются тем же (см. ниже для грубого руководства).
  • Молитесь не сделать интенсивное использование фильтров наследуемых полномочий.
  • Файлы копии в только после Вашей структуры прав создаются. Это НАМНОГО быстрее тот путь.
  • ROBOCOPY имеет синхронизирующую опцию, это сохранит данные файла синхронизировавшими, в то время как Вы ожидаете сокращения - за день. Это НЕ скопирует trustee/acl данные, таким образом помещая, права изменяют мораторий, в то время как Вы находитесь в этом состоянии, очень хорошая идея.

Права NSS на права NTFS. Отметьте, полномочия Каталога не являются тем же как полномочиями Файла, даже при том, что они используют те же биты ACL. Переводы являются icacls опциями. Например...

icacls Directory /grant NW-IT-Guys:(rx)

Дает группе 'NW-IT-Guys'' Читать/Выполнять право на тот каталог, без наследования.

icacls Directory /grant NW-IT-Guys:(oi)(ci)(rx)

Делает то же, но они также смогут считать файлы (oi) и каталоги (ci) созданный ниже той точки также.

  • R - (Подразумевает "F" ниже, Windows не позволяет читать без сканирования файла) (rx)
  • W - (wd) на файлах только. Помещение его на каталоге означает C на NSS.
  • E - (d) для файлов, (dc) на каталогах, если Вы хотите пользователей с тем правом смочь удалить файлы в каталоге
  • M - (реклама) для файлов. При предоставлении каталогам позволяет создавать подкаталоги.
  • C - (wd) на каталогах только. Помещение его на файле означает W на NSS.
  • F - (ул.) на каталогах только. Никакой эквивалент для файлов. При использовании основанного на доступе Перечисления нет никакого пути, 'видят файлы, но не читают их'.
  • A - Не уверенный
  • S - (F), но в отличие от NetWare это может быть заблокировано.

Эта таблица предназначена для тех случаев, где Вы не предоставляете [rwemcf] (иначе чтение-запись) или [rf] права (иначе чтение) к каталогу. Для этих простых случаев используйте (rx) для чтения и (m) ярлыки для чтения-записи. Для тех пользователей, которые должны смочь внести изменения в права, (f) является ярлыком для этого. Для специальных каталогов, таких как поля отбрасывания или каталоги только для записи, вышеупомянутое может помочь понять это.

Некоторые примеры присваивающихся прав с icacls:

Создайте неудаляемый/подвижный каталог с, изменяют права

icacls AcctReports /grant NW-Acct-Techs:(io)(oi)(ci)(m)
icacls AcctReports /grant NW-Acct-Techs:(rx)

(io) means 'inherit only', or only applies to child objects.

Создайте стандартный каталог чтения-записи NSS-стиля

icacls AcctReports /grant NW-Acct-Techs:(oi)(ci)(m)

Создайте стандартный каталог только для чтения

icacls AcctReports /grant NW-Acct-Auditors:(oi)(ci)(rx)

Создайте каталог, содержащий файлы журнала, добавленные к конечными пользователями. Возможно, установка приложения регистрируется и т.п.

icacls AppLogs /grant Everyone:(rx)
icacls AppLogs\FirefoxInstall.Log /grant Everyone:(rx,ad)

Если Вы похожи почти на каждую установку NetWare, я видел, Ваши корни объема имеют очень немного полномочий на них, и Вы даете разрешения на своих высокоуровневых каталогах и ниже. Это не ужасно совместимо с Windows, но существуют пути к клуджу он в работу. Я предполагаю, что Вы используете 'основанное на доступе перечисление', потому что это - то, как NetWare всегда делал его, и Вы не хотите потрясать своих пользователей тем, сколько каталоги там действительно там.

  • 'Всем' будет нужно (rx) право на "эту папку только" для главного каталога Ваших долей. Иначе отображение перестанет работать.
  • Для случаев, где пользователи должны будут пересечь несколько каталогов, прежде чем они доберутся до того, на котором они имеют права, NTFS не позволит Вам просмотреть вниз. Можно фальсифицировать его при помощи" (rx) к this-folder-only" прием для того объекта доступа на каждом каталоге от корня доли до каталога. Да, это сосет. Но это работает.
  • Прямой доступ будет работать. Отображение на "\\server\share\dir1\dir2\dir3 \" будет работать, даже если "\\server\share\dir1 \" перестанет работать. Вам решать, чтобы выяснить, легче ли обучение Ваших пользователей на этом, чем предыдущая точка.

И я еще даже не нахожусь на ShadowCopies по сравнению со Спасением.

1
задан 25 January 2011 в 11:00
1 ответ

Если Вы хотите предотвратить определенный исполняемый файл, то политика Локальной защиты могла бы быть самым легким маршрутом. Выполненный secpol.msc от Запуска | Выполнение. Перейдите к политикам Ограничения программного обеспечения и щелчку правой кнопкой по древовидному узлу для создания нового. (Это - локальная версия групповой политики, которая имела бы приоритет в домене.)

В политике по дополнительным правилам щелкают правой кнопкой для создания нового правила пути. Введите путь исполняемого и уровня безопасности запрещенных.

Два протеста:

  • Это требует Windows Professional/Enterprise/Ultimate.
  • Не ясно, как изменение на другое отображение диска работало бы (использование правила хеша поможет здесь, но правило было бы необходимо для каждого файла вместо того, чтобы иметь правило для дерева папки).
2
ответ дан 3 December 2019 в 22:16

Теги

Похожие вопросы