Como definir permissões de compartilhamento com base na estrutura de pastas

Navegue suas respostas
1

O problema que estou tendo é que os usuários estão movendo as pastas em uma organização de pastas em forma de árvore na unidade compartilhada. A educação do usuário não melhorou o problema, então eu quero usar permissões para restringir quais pastas podem ser movidas e onde. Quero deixar as duas primeiras camadas de pastas, mas restringir as camadas 3 & 4 para ler somente as permissões e conceder permissões de modificação do nível 5 ao infinito sem precisar tocar em todas as pastas existentes.

\server\share\[%year]\[%project name]\[%content folder]\content.doc

\modify\modify\ read \ read \ modify \ modify

A minha oração é que alguém me mostre como definir permissões para uma pasta com base em sua Profundidade na estrutura de pastas (entendendo que se outra camada da pasta pai for introduzida, isso alteraria as permissões dos filhos com base em sua nova pasta camada na árvore).

Este é um conceito realista ou estou prestes a passar uma semana a reestruturar as permissões de forma fragmentada?

    
por Cameron Murdoch 14.01.2016 / 18:06

1 resposta

0

How to set share permissions based on folder structure

The problem I'm having is that users are moving folders around in a tree-like folder organization on the shared drive.

Eu enfrentei esse problema no passado em um ambiente de domínio do Windows com ICACLS usando os comandos abaixo para bloquear as pastas para garantir que elas não possam ser movidas (ou excluídas) pela conta de usuário ou pelas contas de usuário no grupo de segurança que tenha acesso MODIFY à pasta (veja abaixo a sintaxe do exemplo de prompt de comando ICACLS etc.) .

Você pode substituir o SecurityGroupName pelo Username se é dessa forma que protege o recurso de pasta de compartilhamento de rede.

Exemplo de Prompt de Comando ICACLS 

ICACLS "\Server\Share\Folder\<Folder Name To Lock Down>" /deny "SecurityGroupName":(DE)

Opções usadas

/deny user:permission - Explicitly deny the specified user access rights. This will also remove any explicit grant of the same permissions to the same user.

(DE) - Deny delete permission explicitly at the top level folder only which also prevents accidental drag and drop. The file-level archive attribute is checked on all files within a folder you make this change to so this may have an effect on your file-level backup jobs.

someone can show me how to set permissions for a folder based on its Depth in the folder structure

No que diz respeito à sua estrutura, conceda aos usuários \ grupos de segurança acesso de leitura no nível superior e, em seguida, onde eles precisarem de acesso MODIFY, concedam isso explicitamente nos níveis de subpasta. Suponho que você esteja familiarizado com as opções reais para definir essas permissões nos níveis de pasta em que elas são necessárias e que precisam apenas de conselhos sobre onde definir essas permissões mais do que qualquer coisa.

Tente manter a segurança em nível de pasta o mais padrão possível e, se precisar definir permissões explicitamente mais de 3 ou 4 níveis abaixo (pelo menos nos tipos de negócios compatíveis), isso pode significar um design ruim.

Normalmente, tentamos manter apenas duas camadas, como /department/subdepartment (por exemplo, /Finance/Accounts Payable , /Finance/Payroll e assim por diante). Os gerentes ou executivos obteriam MODIFY do nível superior até o fim, e os subdepartamentos só teriam acesso aos subdepartamentos aos quais pertencem.

No que diz respeito à parte \server\share do caminho UNC, normalmente concedo acesso de LEITURA a esses níveis e, em seguida, os grupos que precisam de mais obterão o que precisam nos níveis ~\department\~ ou ~\department\subdepartment , conforme listado o parágrafo acima. O ponto principal é NÃO permitir que alguém acesse um departamento ou uma pasta para a qual não deveria ter acesso.

    
por 14.01.2016 / 20:04

Tags

Encontre valor com base em várias condições Windows 10 Fotos - Teclas de seta não funcionam