Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Права доступа в домене Windows

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2

Открыть новую тему     Написать ответ в эту тему

zkpadmin

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый день. Прошу помочь разобраться с правами доступа в домене Windows 2003. Картина следующая:
В AD заведен пользователь, который входит в группу "Пользователи домена". Расшариваю папку, добавляю в закладке "Безопасность" группу "Пользователи домена" с правами "Чтение и выполнение", "Список содержимого папки", "Чтение" (по умолчанию). Проверяю действующие разрешения на этого пользователя, кроме этих прав установлены права "Создание файлов/Запись данных", "Создание папок/Дозапись данных". В закладке "Разрешения" по группе "Пользователи домена" эти права не назначены.  В чем причина?
 
Добавлено:
Как выяснилось, ситуация еще интереснее. Достаточно открыть общий доступ к папке "Всем" с правами на "Изменение" или "Полный доступ" без добавления прав в закладке "Безопасность" и любой пользователь домена получает права создавать в расшаренной папке файлы и папки. Вопрос, как мне корректно ограничить права доступа, чтобы пользователь мог только проматривать содержимое каталога и запускать фафлы внутри без возможности создания/записи файлов и папок. Установка запретов решает проблему, но не подходит. Есть другие варианты?
 
Добавлено:
Логично предложить убрать группу "Все" из разрешений для общего доступа и добавить необходимые группы, но разве права не должны ограничиваться на уровне ФС в закладке "Безопасность", если там явно не заданы группы безопасности?

Всего записей: 21 | Зарегистр. 02-11-2011 | Отправлено: 15:44 30-01-2012
Fromrussia

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
zkpadmin
На вкаладке Sharing пермишены всем на все. На вкладке Security расставляете разрешения конкретным группам-пользователям. Пермишены вкладки Sharing предназначены для доступа без NTFS. С FAT, например. Если у вас NTFS, то ставите в Sharing всем на всё и не паритесь.
То есть права на шару и на доступ по NTFSным ACL -- суть разные вещи.
Но, есть такая штука, как Access Based Enumeration. Тама шару видят только те, кто прописан в шаринге, а остальные ее просто не видят. По сети, естественно.
Если не пользуете ABE, то welcome. Разруливаем NTFSными правами, а на шаринг - полный доступ.

Всего записей: 132 | Зарегистр. 09-04-2011 | Отправлено: 21:53 30-01-2012
zkpadmin

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Fromrussia, все верно, файловая система NTFS, хочу дать права пользователям, чтобы часть пользователей имели доступ "только чтение", другие могли "изменять". Но почему пользователь с правами "чтение" может создавать каталоги и файлы?? причем, в правах ему это нигде не установлено, а по факту создает и при проверке действующих разрешений стоят галки на разрешение создания файлов и папок?

Всего записей: 21 | Зарегистр. 02-11-2011 | Отправлено: 08:40 31-01-2012
wwladimir



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А почитать что уже написано об этом, не сложно?
http://forum.ru-board.com/topic.cgi?forum=8&topic=18306
 
По сути-Вы путаете (или смешиваете) права "на сетевой доступ" и права "файловой системы".
 

Всего записей: 526 | Зарегистр. 08-11-2006 | Отправлено: 15:18 31-01-2012 | Исправлено: wwladimir, 15:21 31-01-2012
zkpadmin

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Почитал, возможно Вы, wwladimir, не поняли сути вопроса. В предложенной Вами статье все описанное относится операционной системе Windows ХР и сети без домена Active Directory. В моей теме речь идет как раз о сети в домене AD. И вопрос мой состоит не в том, как добавить права доступа на расшаренном ресурсе, а почему пользователи домена получают доступ на создание каталогов и файлов, если правами NTFS это не задано. И как корректно запретить данные права на создание каталогов и файлов, не устанавливая правила запрета на закладке "Безопасность" общего ресурса.

Всего записей: 21 | Зарегистр. 02-11-2011 | Отправлено: 15:32 31-01-2012
Prisoner_of_Ice

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
zkpadmin

Цитата:
В закладке "Разрешения" по группе "Пользователи домена" эти права не назначены.  В чем причина?  
   

в том что "Разрешения" - это права на уровне сети, а "Безопасность" - это на уровне файловой системы конкретного компьютера. это разные права и настраиваются они отдельно.
 

Цитата:
Почитал, возможно Вы, wwladimir, не поняли сути вопроса.

он прекрасно понял суть вопроса и направил вас именно туда - куда следовало, читайте внимательнее раздел: Создание разделяемого ресурса. по указанной выше ссылке.
 
п.с. скриншот вкладки безопасность предоставьте и скриншот владельца контейнера. чтобы убедиться, что у вас там вообще никому кроме конкретного пользователя делать ничего нельзя.

Всего записей: 334 | Зарегистр. 24-11-2005 | Отправлено: 15:44 31-01-2012 | Исправлено: Prisoner_of_Ice, 15:49 31-01-2012
wwladimir



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здесь не принципиально ХП оно или 2003 и права локальные или из АД.
 
Принципиально-Вы даете права на сетевой доступ а удивляетесь, что доменный пользователь имеет право на запись в файловой системе.
 
Думаю что в локальную группу пользоватнелей  данного компа(как минимум) вллючена доменная группа "пользователи домена".
 
Если трудно просмотреть начало предложенной темы,то пройдите на закладке вашей папки на вкладку- Безопасность-дополнительно-действующие разрешения. Там все понятно ? И обратите внимание на столбец -"унаследовано от".

Всего записей: 526 | Зарегистр. 08-11-2006 | Отправлено: 15:45 31-01-2012 | Исправлено: wwladimir, 15:47 31-01-2012
Prisoner_of_Ice

Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
 И как корректно запретить данные права на создание каталогов и файлов, не устанавливая правила запрета на закладке "Безопасность" общего ресурса.

корректно - на вкладке "Безопасность". на уровне сети вы можете задать только 3 общих варианта разрешений: полный доступ, чтение, изменение. хотите более детально - настраиваете на уровне файловой системы.
 
а вообще, в рабочей сети шарами лучше не пользоваться. хотите нормально сделать - подымите ftp и там настройте все.

Всего записей: 334 | Зарегистр. 24-11-2005 | Отправлено: 16:01 31-01-2012
zkpadmin

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
wwladimir, Prisoner_of_Ice, Уважаемые коллеги, мне Ваша мысль понятна. Технологию назначения прав, описанную в статье, я представляю. Попробую поставить вопрос иначе. Откуда берутся права на создание каталогов и файлов у пользователя домена (не локального), входящего в группу "Пользователи домена", если на расшаренном ресурсе на вкладке "Безопасность" группа "Пользователи домена" добавлена, но права на чтение и выполнение? На создание каталогов и файлов прав никто не добавлял.

Всего записей: 21 | Зарегистр. 02-11-2011 | Отправлено: 16:12 31-01-2012
Valery12

Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
zkpadmin
когда компьютер вводится в домен, автоматически в локальную группу users (пользователи) добавляется доменная группа domain users (соответственно получая все имеющиеся разрешения) а в локальную группу admins добавляется группа domain admins

Всего записей: 2325 | Зарегистр. 21-07-2003 | Отправлено: 16:17 31-01-2012
zkpadmin

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Valery12, Отличный ответ!
wwladimir, в принципе, Вы тоже были правы.
Вот теперь понятно, что права "Создание каталогов и файлов" по умолчанию установлены группе локальных пользователей. О том, что в эту группу входит группа "Пользователи домена" я не знал.
 
Всем спасибо.  

Всего записей: 21 | Зарегистр. 02-11-2011 | Отправлено: 16:29 31-01-2012
zkpadmin

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Возник еще один вопрос по теме, чтобы не плодить новых тем, решил задать его здесь.
 
Ситуация следующая. Для примера, на диске С: имеются вложенные каталоги "Level_1", "Level_2":
 
C:\Level_1\Level_2
 
Необходимо настроить разрешения файловой системы пользователю таким образом, чтобы внутри каталога "Level_1" было "Чтение и выполнение", т.е. пользователь не может удалить каталог "Level_2" и не может создать новых. А внутри каталога "Level_2" у этого пользователя разрешено "Изменение".
 
Я в свойствах каталога "Level_1" добавил пользователю разрешение "Изменение" - применять к "Только для подпапок и файлов".
По факту получилось, пользователь не может создавать новые каталоги и файлы в каталоге "Level_1", но УДАЛЯТЬ каталог "Level_2" может.  Хотя, в действующих разрешениях каталога "Level_1" нет разрешений на удаление.
 
Прошу более опытных коллег объяснить, почему удаляется каталог "Level_2".

Всего записей: 21 | Зарегистр. 02-11-2011 | Отправлено: 17:01 01-02-2012
wwladimir



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Для этого( на вкладке "безопасность"-дополнительно) есть "птицы" разрешить наследование   и заменить разрешения...  
Т.е. в одном случае права идут сверху (наследуются)к папкам и файлам, во втором принудительно спускаются вниз с этого уровня. Без птиц-действуют только на этом уровне.
Ну хоть здесь бегло просмотрите (или в гугль по dacl ntfs) http://www.winsecurity.ru/articles/Understanding-Windows-NTFS-Permissions.html

Всего записей: 526 | Зарегистр. 08-11-2006 | Отправлено: 20:31 01-02-2012 | Исправлено: wwladimir, 20:37 01-02-2012
Fromrussia

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
При чем здесь "домен Windows" я никак не пойму. Если мы уж собрались отличать домены, то это будет домен AD, но и он здесь совершенно не при чем.
zkpadmin
Вы бы лучше спросили, как сделать то и то, и почему именно так. А у вас получается: "смотрите, я наваял, а не работает". Причем на указание почему именно не работает, вы начинаете бодаться. Разве это дело?

Всего записей: 132 | Зарегистр. 09-04-2011 | Отправлено: 22:04 01-02-2012
zkpadmin

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Спасибо. Разобрался, почему удаляется каталог "Level 2".

Всего записей: 21 | Зарегистр. 02-11-2011 | Отправлено: 15:20 02-02-2012
Straiker11

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Поставил галку запрета списка содержимого папки для группы пользователи. Как это поправить????

Всего записей: 2 | Зарегистр. 10-07-2012 | Отправлено: 16:18 10-07-2012
SergLo55

BANNED
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А что чего перекрывает "доступ" или "безопасность"?

Всего записей: 298 | Зарегистр. 22-03-2011 | Отправлено: 14:43 17-10-2012
wwladimir



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
SergLo55Никто не перекрывает ,суть разные процессы.
Любой запрет всегда имеет приоритет.
Отсутствие прав на любом из уровней не позволит его (этот доступ) получить.

Всего записей: 526 | Зарегистр. 08-11-2006 | Отправлено: 15:02 17-10-2012
urodliv



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Господа моё почтение. Вынужден поднять эту тему, так как своими силами понять логику майкрософта не в силах.
Исходные данные.
1. Домен на 2008r8.
2. Администраторы домена входят в группу локальных админов, пользователи домена - в группу локальных пользователей (всё как задумали в мс).
3. Пользователь adm1 входит в группу доменных админов. Пользователь user1 - в группу доменных пользователей.
4. "Верхний каталог" fld (владелец - администраторы домена, не наследует сверху) имеет разрешения:
- создатель-владелец: полный доступ для подпапок и файла;
- система: полный доступ для папки, подпапок и файлов;
- пользователи домена: траверс папок, содержание папки, чтение атрибутов, создание папок только для этой папки;
- администраторы домена: полный доступ для папки, подпапок и файлов;
6. "Пользовательский каталог" usrfld (владелец - user1). Права унаследованы от каталога fld с той лишь разницей, что в ACL появилась запись для user1 на полный доступ (как я понимаю заменила запись для пользователей домена). Но она тоже имеет пометку о наследовании от fld.
 
Проблемы.
1. При такой конфигурации администратор домена ad1 не может зайти в каталог usrfld. Ему предлагается получить прямые разрешения на каталог. Если это сделать, то доступ мы получаем, но тогда возникает закономерный вопрос: почему по группе администраторы домена не пускает?
2. Опять же права на каталог usrfld просматриваются только через нажатия на доп. кнопки и, естественно, распространить права на все вложенные каталоги и файлы не разрешается.
3. Если отдать "верхний каталог" fld в общий доступ (администраторы домена - полный доступ, пользователи домена - изменение), то зайти в него под adm1 получится только после того, как adm1 будет помещён в группу "пользователи домена". Вот как это всё понимать?


----------
Очень скоро еда станет совершенно безвкусной, и тогда этот недостаток придётся компенсировать хорошо развитым воображением.

Всего записей: 6684 | Зарегистр. 29-04-2009 | Отправлено: 12:08 24-06-2014 | Исправлено: urodliv, 12:12 24-06-2014
Zenith1983



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Могу ошибаться, но не связанно ли это с тем, что в данном примере рассматриваются "хомяки" пользователей? Если так то скорее всего установлена галка "исключительный доступ" к домашнему каталогу.

Всего записей: 297 | Зарегистр. 21-03-2008 | Отправлено: 12:52 24-06-2014
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Права доступа в домене Windows


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru