Aplique automaticamente a permissão 'pastas de lista' às pastas dos pais quando o usuário conceder acesso à subpasta no compartilhamento de Enumeração Baseada no Acesso

Navegue suas respostas
4

Primeiramente, peço desculpas se parte da minha terminologia está desativada, sou muito novo na rede do Windows e no Active Directory.

Estamos executando um servidor de arquivos do Windows Server 2008 R2 e fui encarregado de reestruturar um de nossos compartilhamentos de rede. O compartilhamento, por padrão, deve ser acessível por todos os usuários autenticados, com algumas pastas (por exemplo, \share\manager_1 , \share\manager_2 ) restritas a apenas algumas pessoas ( manager_1 e manager_2 ). Eu também quero que essas pastas não sejam visíveis para os usuários que não têm acesso a elas - A Enumeração Baseada em Acesso tem feito maravilhas para isso. Até aí tudo bem.

Agora, o problema surge quando um gerente deseja criar uma subpasta dentro de sua própria pasta ( \share\manager_1\sub_folder_1 ) e compartilhar essa pasta com outro usuário. Demos aos gerentes a capacidade de definir suas próprias permissões em pastas dentro da própria pasta dos gerentes, então manager_1 pode dar user_1 access a \share\manager_1\sub_folder_1 , NO ENTANTO, neste cenário:

  1. user_1 não pode navegar na árvore do diretório de compartilhamento para \share\manager_1\sub_folder_1 porque a permissão "list folders" não é concedida automaticamente para eles em \share\manager_1 - então a Enumeração Baseada em Acesso oculta a pasta manager_1 eles.

  2. Mesmo com a permissão 'traverse folders', o usuário_1 não pode ir diretamente para o caminho \share\manager_1\sub_folder_1 UNC, o ABE tem precedência sobre o 'traverse folders'.

Realmente Eu quero uma maneira de fazer o ABE funcionar, mas com a propagação de 'permissão reversa' da permissão 'listas de pastas' - tal que no cenário acima, user_1 seria capaz de detalhar a árvore de diretórios para sub_folder_1 , MAS não será capaz de ver nenhum conteúdo da pasta manager_1 (obviamente, barra sub_folder_1 ).

Tendo passado algumas horas tentando descobrir como fazer isso, meu entendimento é que existe um recurso chamado "Herança dinâmica" no equivalente do Active Directory da Novell que faz exatamente isso. Existe alguma maneira de conseguir isso em um ambiente baseado no Windows?

Qualquer ajuda muito apreciada.

    
por lankyfish 08.07.2016 / 17:47

1 resposta

2

Eu recentemente estive e ainda estou no seu lugar.

Você não precisa apenas da permissão da pasta de listas.

Você precisará 

Travese Folder 

List Folder 

Read attributes 

Read extended attributes 

Read permissions

veja aqui.

Infelizmente, não há equivalente do Windows à funcionalidade que a Novell oferece.

Além disso, permitir que usuários gerenciem permissões não é uma boa ideia por alguns motivos.

Primeiro, será um pesadelo de auditoria. Nem você nem seu gerente rastrearão e saberão quem tem acesso a qual diretório.

Em segundo lugar, no final do dia, sua equipe de TI / Suporte técnico terá de oferecer suporte aos gerentes na solução de problemas de algumas ACL / ACEs borked.

Na nossa organização, criamos para cada pasta 3 grupos permissivos via script do PowerShell e os adicionamos à pasta ACL. Em seguida, adicionamos usuários que precisam de acesso a esses recursos aos respectivos grupos do AD para conceder acesso.

Talvez o seguinte link (meu tópico no mesmo tópico) lhe dê alguma inspiração.

Servidor de arquivos e ABE

    
por 08.07.2016 / 20:03

Tags

Novo endereço IP público - E-mail, servidor da web Existe uma maneira de consultar dados de sensores de hardware no VMWare ESxi 5.5 sem o VSphere?