O grupo NTFS “CREATOR OWNER” sempre tem permissões especiais no Windows

Navegue suas respostas
5

Eu estava trabalhando na criação de um compartilhamento de rede (veja a matéria abaixo) e me deparei com um comportamento estranho com as permissões do NTFS. O objeto "CREATOR OWNER" parece ser capaz de listar apenas permissões "Especiais" na guia "Segurança". Não importa o que eu faça, o sistema volta a essa configuração. Existe uma maneira de obter a entrada "CREATOR OWNER" para listar algo diferente de especial na guia de segurança? Isso tornaria a verificação de erros de permissão muito mais fácil, já que eu não teria que mergulhar na guia Avançado para ver quais permissões eu defini para esse grupo. Isso está no cliente do Windows 7 se conectando a um compartilhamento do Windows Server 2008.

Pergunta sobre bônus:

Eu também gostaria de saber por que o grupo "CREATOR OWNER" não pode aplicar permissões a "This folder". Isso parece uma peculiaridade esquisita desse grupo que deve ter uma história por trás da configuração desse modo.

Eu fiz algumas pesquisas e encontrei o artigo de technet . Eu naveguei procurando informações sobre a permissão "OWNER" e encontrei apenas algumas informações sobre como essa permissão funciona.

[História de fundo]

Portanto, eu tenho um compartilhamento de rede onde os usuários criarão uma pasta para armazenar seu trabalho em um projeto específico. Os arquivos na pasta de cada usuário são privados devido aos parâmetros que me foram fornecidos pelos gerentes de projeto. No topo desse parâmetro, os usuários dessa pasta serão alterados constantemente durante o ano, alguns por apenas alguns dias. Para tornar a sobrecarga administrativa o mais baixa possível, configurei as permissões da seguinte forma:

  • Grupo de usuários - Permitir - Listar o conteúdo da pasta
  • Grupo de usuários - Permitir - Escrever
  • PROPRIETÁRIO DO CRIADOR - Permitir - Modificar

Eu defino as permissões, clique em OK e tudo funciona. Mais tarde, quando volto para adicionar o grupo de gerenciadores de conteúdo à guia Segurança, percebo algo estranho. A entrada "O PROPRIETÁRIO CRIADOR" mudou de Modificar para Especial. Entro em permissões avançadas e noto que o "PROPRIETÁRIO CRIADOR" só se aplica a "Subpastas e arquivos apenas". Eu então tento redefinir o "Aplicar para" drop down para "Esta pasta, subpastas e arquivos", mas ele volta assim que eu bati "Aplicar".

Obrigado

    
por Doltknuckle 15.09.2011 / 21:22

4 respostas

5

As entradas de controle de acesso CRIADOR-PROPRIETÁRIO devem sempre ser apenas herdadas, porque não faz sentido aplicá-las a qualquer objeto real. Ao usar versões recentes do Windows com a API moderna, todas as entradas de CREATOR OWNER são automaticamente marcadas como herança apenas.

Na GUI avançada, o sinalizador somente herdado é traduzido como "Apenas subpastas e arquivos". Alterá-lo para "Esta pasta, subpastas e arquivos" teria o efeito de limpar o sinalizador somente herança, o que não pode ser feito para o PROPRIETÁRIO CRIADOR. A GUI básica provavelmente não deveria estar mostrando isso como Especial, mas acho que a MS não pensou nesse caso especial.

    
por 16.09.2011 / 06:53
2

O PROPRIETÁRIO CRIADOR é principalmente para permissão dinâmica, pois as pessoas criam material em uma pasta em que possuem direitos convencionais, em vez de permissão preguiçosa. Se você pensar assim, o conceito pode fazer mais sentido.

    
por 15.09.2011 / 21:41
-1

Isso é simplesmente uma limitação do mapeamento entre as ACLs POSIX disponíveis no Linux e no Windows ACL.

Falando sobre uma pasta, em ACLs POSIX você pode atribuir permissões padrão para os itens criados dentro dela. Você pode fazer isso explicitamente para usuários e grupos nomeados, mas há dois padrões aplicáveis aos futuros proprietários (usuário e grupo) do arquivo / pasta a ser criado. 

default:user::rwx
default:group::r-x

Esses são mapeados para CREATOR OWNER e CREATOR GROUP , respectivamente. Eles não se aplicam ao diretório atual, portanto, quando você olha na interface do Windows, verá que eles se aplicam a Subfolders and files only . Windows iria tratá-lo como permissão especial e mostrar como tal.

Para cada diretório, você também tem permissões atribuídas ao proprietário e ao grupo 

user::rwx
group::rwx

Aqueles, no entanto, são imediatamente traduzidos para o proprietário e grupo reais quando consultados pelo Windows. Mesmo que você conceda ao PROPRIETÁRIO CRIADOR os direitos para essa pasta também, essa alteração será perdida - porque o Windows a verá como uma alteração nas permissões para o proprietário real.

Então, na interface do usuário, você provavelmente veria: 

Unix User - Root   - Full Control, This folder only
Unix Group - Root  - Full Control, This folder only
CREATOR OWNER      - Full Control, Subfolders and files only
CREATOR GROUP      - Read and execute, Subfolders and files only

Infelizmente, não sei nada para mesclar em algo mais legível.

E fica um pouco menos complicado ao lidar com as ACLs do NFSv4 ...

    
por 28.10.2015 / 16:58
-2

permissão "criador proprietário" - "subpastas e arquivos desta pasta" restringe o sistema a "apenas subpastas e arquivos".

Usuários, criadores, não podem criar suas pastas.

    
por 31.08.2016 / 19:24

Tags

Como acessar locais compartilhados entre duas instâncias do Amazon EC2 Duração de desligamento de uma hora inteira "encerrando o serviço de gerenciamento de máquinas virtuais do hyper-v"