?

Log in

 
 
23 August 2016 @ 01:57 pm
Права на каталоги - нид хэлп!  
Что-то у меня ум за разум заходит.

Есть файловый сервер.

На нем есть некая структура каталогов:

На верхнем уровне расшарена папка "документы".

В нее вложены папки с именами, 1, 2, 3, Директора, 4, 5. По папкам с цифрами - вопросов нет. Там одноуровневая безопасность - на все вложенные.

Директора включает в себя еще три папки: Д1, Д2, Д3. Мало того, есть еще и Д3-1, находящаяся в Д3.

И вот тут у нас начинается проблема.

Для упрощения управления, в АД я создал аналогичную структуру OU по которой разложил соответствующие группы. Теперь, что бы дать доступ пользователю в одну из папок - я просто добавляю его в соответствующую группу.

Для папок с одноуровневой безопасностью - это работает нормально. Трудность в другом.

1) Как вообще должен работать траверс папок? Берем каталог с трехуровневым вложением. Даем пользователю Х рид-райт на нижний уровень каталога. Даем ему на второй уровень - только траверс... И никто и никуда не идет.

В приложении к вышесказанному - в директорах, надо дать ряду пользователей доступ к папке Д3-1, но при этом без права просмотра содержимого корня директоров и Д3. По идее, можно просто задать на всю структуру каталогов траверс для "доменных пользователей". Вот только - хрен там. Траверс не позволяет открыть папку, что бы увидеть более глубокий уровень вложения. Если же дать еще и "чтение содержимого" - пользователь начинает видеть то, что ему видеть не положено. Как именно надо выставить права, что бы пользователь зашел в папку, в которую ему не положено заглядывать, увидел там только папки (но не файлы) и прошел сквозняком к своей папке на которую у него рид-райт?


2) Во время настройки столкнулся с еще одним странным глюком: изначально, на структуру, сверху с наследованием были спущены "пользователи домена" с чтением.

В процессе настройки безопасности - я удалял эту группу из списка безопасности папок. Подчеркиваю: УДАЛЯЛ а не ЗАПРЕЩАЛ.

Система, при этом - выдавала предупреждение, что я ввожу "элемент запрещения", который имеет преимущество над разрешением. Еще раз - я не выставлял "запретить пользователям домена все". Я лишь выводил их за скобки, оставляя созданные мною группы доступа.

Что вы думаете? В продакшене, оказалось, что ряд пользователей, внесенных в группы доступа соответствующих папок - доступа не имеют. Запрещен. Пришлось прописывать их руками напрямую - тогда заработало.

Т.е. это выглядит так:

* Изначально папка 1 имеет стандартную безопасность, включающую в себя пользователей домена.

* Я создаю группы Группа-1-рид и Группа-1-РидРайт, куда и вношу соответствующих пользователей. Допустим Ю1, Ю2, Ю3 и Ю4. (куда - кого - совершенно не важно).

* Я удаляю, в свою очередь, группу "пользователи домена", оставляя доступы только для перечисленных групп (и фулл аксес для системных администраторов).

По логике, что бы дать доступ к папке 1 на чтение - мне достаточно внести пользователя Ю5 в Группа-1-рид. На запись - Группа-1-ридрайт.

Увы - не работает. Точнее как. Ю1 и Ю2 - подцепляются сразу. Ю3 - какое-то время сообщает что у него нет доступа, но после перезагрузки - таки начинает работать.

Ю4 не помогает даже перезагрузка.

Прописываем Ю4 в безопасность папки без группы - доступ разрешен.

**************

Важное уточнение: сама ситуация - следствие наведения порядка. Компания до моего прихода - работала на домене на Windows 2003. Глючило и тормозило все настолько, что... В общем адище (причем на 75% машин стояла W10. Машины применяли политики (написанные грубо и топорно) из W3 по 45 - 50 минут на включении/выключении).

Я поднял параллельно W2K8R2, перевез туда все машины (с рядом машин, кстати, проблема - продолжают применяться старые политики. Gpupdate не помогает. Надо или ковырять реестр или переставлять винду. Если кто знает другие, АДЕКВАТНЫЕ по времени, способы зачистки - колитесь. Буду очень признателен). Настроил (наконец-то!) WSUS, нормальный DNS (до этого он на роутере жил). В общем - навожу порядок. И вот эта история с файлсервером (W2K8R2) сильно портит мне нервы.

Был бы признателен за совет и помощь.

P.S.
#Янедебил - сотни раз настраивал доступы, разной сложности (кроме траверза - этот прием я не применял, так как всегда избегал алогичных структур файлового дерева, при котором нужно получать доступ в папку, через запрещенную папку).

Просто такое поведение - вижу первый раз, а мозги за неделю работы без выходных над этим проектом - уже сплавились в этакий брейниум. На подчиненного надежды ноль - сисадмин уровня "техподдержка". Так что...