Alterando a permissão do Windows não recursivamente

Navegue suas respostas
6

Eu tenho uma máquina com o Windows Storage Server 2008 atuando como nosso servidor de arquivos da empresa. Eu preciso dar a alguém acesso à mesma pasta e arquivos em nossa pasta Marketing (que contém facilmente mais de 100.000 arquivos). O usuário precisa acessar o Marketing / images, mas nada mais na pasta de marketing. Então, meu pensamento é adicionar privilégios de leitura à pasta Marketing e, em seguida, adicionar leitura / gravação à pasta, subpastas e arquivos das imagens.

Quando vou adicionar as permissões na pasta Marketing, seleciono as permissões de leitura corretas e, em seguida, defino o escopo como "Somente esta pasta". Quando clico em aplicar, parece tocar em todos os arquivos da pasta Marketing (o que leva uma eternidade). No final, ele apenas adicionou suas permissões à pasta Marketing como eu esperava, mas ainda precisava tocar em todos os outros arquivos.

O que isso está fazendo? Todos os outros arquivos herdam suas permissões, por isso está dizendo a todos os arquivos "Herdar permissões do Marketing, exceto o usuário John Doe"? Estou fazendo errado?

    
por Safado 19.04.2012 / 00:26

2 respostas

1

Na verdade, você pode conceder ao usuário as permissões apropriadas diretamente na pasta de imagens sem conceder a elas permissões na pasta pai. O direito de usuário "Ignorar verificação completa" permitirá que o usuário percorra um conjunto de pastas para as quais não tem permissão para acessar uma pasta para a qual tenha permissões. Observe que o usuário terá que acessar explicitamente o caminho para a pasta de imagens, pois não poderá navegar até ela.

Na explicação do direito do usuário "Ignorar a verificação completa":

Ignorar a verificação completa

Esse direito de usuário determina quais usuários podem percorrer as árvores de diretórios, mesmo que o usuário possa não ter permissões no diretório percorrido. Esse privilégio não permite que o usuário liste o conteúdo de um diretório, apenas para percorrer diretórios. Esse direito de usuário é definido no objeto de Diretiva de Grupo do Controlador de Domínio Padrão (GPO) e na diretiva de segurança local de estações de trabalho e servidores.

Padrão em estações de trabalho e servidores:

Administradores Operadores de backup Comercial Todos Serviço local Serviço de Rede

Padrão nos controladores de domínio:

Administradores Usuários autenticados Todos Serviço local Serviço de rede Acesso compatível anterior ao Windows 2000

    
por 19.04.2012 / 04:59
2

O que você fez está correto. O comportamento que você percebeu (o processo leva "para sempre" e todo diretório e arquivo na árvore parece ser tocado) é apenas a forma como as APIs da ACL são implementadas. O código provavelmente não verifica o que foi alterado, de modo que ele não sabe que, neste caso específico, não é necessário recorrer à árvore.

A resposta de joeqwerty também está correta. Eu gostaria de enfatizar que os usuários finais podem não se sentir confortáveis trabalhando com caminhos que podem ser acessados diretamente (especificando o caminho completo), mas não navegando (movendo a hierarquia no Explorer do diretório raiz para baixo).

    
por 19.04.2012 / 09:36

Tags

Regra do Firewall do Windows baseada em nome de domínio em vez de IP OpenVPN sobre TCP, latência terrível, mas apenas no Win7 x64