Инструмент для управления общими папками Windows и их разрешениями

Я помню, что был инструмент для простого управления общими ресурсами для Windows. Но я ничего не помню об этом.

В моем случае в основном используется конфигурация, но в Windows очень сложно управлять разрешениями пользователей для общих ресурсов.

Допустим, у меня есть следующая структура и два пользователя.

Dropbox

  • Папка А
  • Папка Б
  • Папка С
  • общественного

Пользователь A должен иметь возможность редактировать все в папках A и C. Но он не должен видеть и получать доступ к папке B и не должен иметь возможность удалять папки A и C.

Пользователь B должен иметь одинаковые права доступа к папке B и не должен видеть A и C.

Общая папка должна быть доступна всем, даже если это новый пользователь.

Папка Dropbox автоматически синхронизируется с Интернетом.

Windows становится очень запутанной и грязной, когда я реализую разрешения в свойствах папки> безопасность> расширенное окно. Я не могу понять наследование и применить к проверке дочерних объектов.

И если я предоставлю доступ пользователям в окне совместного использования> окно общего доступа, это будет просто, но пользователь сможет удалить корневые папки, если у него есть право доступа к нему.

Источник

1 ответ

Как правило, вы хотите применить свои ограничения на уровне NTFS. Сделайте ваши права доступа к общедоступным ресурсам как можно более открытыми (т. Е. "Прошедшие проверку" или "Все", по крайней мере, измените доступ), а затем закрепите их с разрешениями безопасности NTFS.

Я бы порекомендовал создать три группы безопасности для каждого общего ресурса ("Чтение", "Изменить" и "Запись"), а затем назначить разрешения для этой папки. Затем вы добавляете пользователей и группы в эти группы, чтобы применить разрешения. Сохраняет необходимость редактировать разрешения для папок каждый раз, когда пользователь меняет роль.

Если вы хотите скрыть папки, которые пользователи не видят, вам нужно включить "Перечисление на основе доступа", поэтому в вашем случае я бы:

  1. Создайте единый общий ресурс под названием "Dropbox" и примените права доступа "Все" для записи.
  2. Создайте соответствующие папки с 3 группами безопасности (Чтение, Запись и Изменение), вы можете просто создать две (Чтение и Запись), если хотите упростить.
  3. Назначьте группы папкам и предоставьте им указанные разрешения
  4. Перейдите к "Диспетчер серверов" на файловом сервере и "Службы файлов и хранилищ -> Общие ресурсы -> Щелкните правой кнопкой мыши общий ресурс -> Свойства -> Настройки -> Включить перечисление на основе доступа".

ABE скрывает любые ресурсы, к которым у пользователя нет доступа по крайней мере "Чтение / Список".

РЕДАКТИРОВАТЬ:

Просто подумайте, но применение разрешений "Запись" или "Изменить" на уровне корневой папки (например, "Public" в вашем примере) также позволит пользователям изменять родительскую папку. Так что кто-то может случайно переименовать "Public" во что-то другое.

Чтобы обойти эту проблему, для групп с разрешениями на изменение (например, "Запись и изменение") установите отдельное разрешение для "Чтение, запись и выполнение" в качестве "Только эта папка", а затем выберите "Изменить" Разрешения "Подпапки и файлы", например, наш отдел диск имеет следующее:

Итак, вы можете видеть, что есть три ACL, но только две группы.

Первый из них:

FS.dep.Full.Information Systems - Изменить - Подпапки и файлы

Что позволяет всем членам группы создавать и завершать все объекты под текущей папкой.

Второе это:

FS.dep.Full.Information Systems - чтение и выполнение - только эта папка

Это позволяет группе только ПРОЧИТАТЬ родительскую папку (информационные системы), но не вносить в нее никаких изменений.

Затем:

FS.dep.Read.Information Systems - Изменить - Эта папка, подпапки и файлы

Что просто дает доступ для чтения ко всему и всем в группе.

Источник
Другие вопросы по тегам