Defina permissões ntfs para que um arquivo possa ser lido, mas não navegue no diretório

4

OK pessoal, eu não acho que isso seja possível, mas:

Tenho um cliente que precisa permitir que os usuários do domínio leiam arquivos em um diretório.

O problema é que ele NÃO quer que eles consultem o diretório.

basicamente, eles conhecem um nome de arquivo e um local, para que possam abri-lo diretamente. (suponha que eles estejam colando o caminho inteiro \ filename no arquivo / caixa de diálogo aberta.

Existe alguma maneira de fazer isso?

Além disso, eles não podem ver a estrutura de diretórios, embora isso possa ser aceitável.

Meu sentimento é colocar todos esses arquivos por trás de um front-end de aplicativo, dar permissões ao aplicativo (web) e remover todo o acesso de usuário de domínio direto aos arquivos. Utilize a segurança de aplicativos.

Outras sugestões de métodos são bem-vindas. Eu não tenho detalhes completos do arco do aplicativo, mas como tudo é baseado em arquivos, sinto que um front-end precisa ser escrito para lidar com isso. (Note que eu sou um cara de aplicativo, não um administrador. Eu só toco um administrador na tv ..... eu sei que coisas de administração suficientes são extraordinariamente perigosas, então não precisa ser muito simplista)

    
por Bob Housedorf 02.12.2011 / 02:58

3 respostas

4

Isso deve ser bastante fácil. Ative a ABE (enumeração baseada em acesso) no compartilhamento e verifique se você definiu as permissões NTFS corretamente nos arquivos e pastas dentro do compartilhamento.

link

Como alternativa, o direito de usuário Ignorar verificação completa concede ao grupo Todos (por padrão) a capacidade de compartilhar pastas nas quais não têm permissões NTFS para obter arquivos nos quais têm permissões NTFS. Veja o que fazer:

  1. Conceda ao grupo Todos as permissões Alterar e Ler no compartilhamento.

  2. Defina as permissões NTFS apropriadas nas pastas e arquivos dentro do compartilhamento.

Um usuário pode acessar os arquivos diretamente via

\servername\sharename\foldername\filename

Contanto que você tenha as permissões Compartilhar e NTFS configuradas corretamente, os usuários poderão acessar os arquivos apropriados sem poder navegar pelo conteúdo do compartilhamento.

    
por 02.12.2011 / 04:14
4

O problema com a sua configuração (supondo que eu entenda corretamente como "ter todos os arquivos em um único diretório") é que um cliente inteligente pode adivinhar os nomes de outras pessoas e obter acesso aos seus dados, para que não Não importa se eles não podem navegar, só importa que eles possam pegar qualquer arquivo pelo nome , e isso significa outros arquivos do cliente.

Em outras palavras, a obscuridade não implica segurança, apenas que está fora de vista, fora da mente. Alguém com um pouco de imaginação vai aparecer e ver através disso.

Eu repensaria a abordagem e, possivelmente, isolaria cada cliente em um subdiretório para o qual só eles têm permissões. Você seria capaz de isolar o cliente para esse local apenas compartilhando o nível de diretório específico do cliente para cima ... e eles poderiam procurar tudo o que desejam, porque não há mais nada para ver. Quando eles se conectam / log-in, eles só recebem direitos de acesso para "seu diretório" ... não importa que haja outros diretórios, porque eles não têm acesso a eles (sem os privilégios corretos).

    
por 02.12.2011 / 04:03
-2

Compartilhar um diretório específico (e não superior) no Windows é tão simples quanto clicar com o botão direito do mouse na pasta desejada, clicar em "Compartilhar" e adicionar usuários.

Quando quiserem acessá-lo, eles usarão o caminho UNC \\ server.domain.local \ name_of_shared_folder

É isso! *

* Verifique se o DNS está configurado corretamente. Verifique novamente o firewall também.

    
por 02.12.2011 / 03:20