Configuração de ACLs do Windows para permitir acesso ao subdiretório

3

Estamos no processo de mover alguns diretórios do NetWare para o Windows e temos uma diferença de permissão. Como o NetWare facilita isso, temos volumes inteiros em que nenhum usuário tem direitos na parte superior do volume, e a primeira, segunda e terceira camadas de diretórios são onde os direitos são concedidos. Devido a como o sistema de trustees do NetWare funcionava, se você tivesse acesso a um diretório no fundo da árvore, seria possível navegar até ele da raiz sem problemas. Isso teve o efeito colateral prático de mostrar apenas os diretórios aos quais você tem acesso quando você enumera um diretório do qual você não tem permissão.

A opção 'mostrar apenas os diretórios aos quais você tem acesso' é resolvida por meio da Enumeração Baseada em Acesso (ABE) da Microsoft, e isso é bom.

O problema que estamos tendo é descobrir quais direitos e políticas de segurança precisam ser definidos para permitir que os usuários naveguem de um compartilhamento raiz para um diretório ao qual tenham acesso. Exemplos tornam isso mais fácil de explicar.

\server\share\finance\audit\auditreports\HR-Q4-2007

A equipe de auditoria concede direitos para os Gerentes de RH ao diretório do relatório de auditoria acima ("HR-Q4-2007"). No NetWare, isso permitiria que os gerentes de RH iniciassem em \\ server \ share \ e, em seguida, navegassem pelos relatórios de finanças, auditoria e auditoria para chegar ao diretório. Uma permissão, e isso só funcionou.

A política de segurança "Ignorar Verificação Completa" significa que os gerentes de RH podem mapear uma unidade diretamente para \\ servidor \ compartilhamento \ finanças \ auditoria \ relatório de auditoria \ HR-Q4-2007 \ e funcionaria. Não é isso que queremos, queremos que o usuário inicie na parte superior e navegue para baixo.

Isso requer o uso do direito NTFS 'Traverse Folder' para habilitar isso? Nesse caso, significa um ambiente de permissão muito mais complexo, mas podemos resolver isso. Como este problema é resolvido quando o ABE também está em uso?

    
por sysadmin1138 25.06.2009 / 19:50

2 respostas

7

Você está procurando a permissão "List Folder Contents" (que inclui o direito "Traverse Folder") aplicada a pastas sem herança. Para que a enumeração baseada em acesso funcione, no entanto, você não pode herdar essa permissão na hierarquia, então você precisa ficar um pouco louco com isso.

Na raiz do compartilhamento, adicione a permissão "Gerentes de RH - Listar conteúdo da pasta" e, em seguida, nas configurações "Avançado", defina essa permissão para aplicar a "Somente esta pasta". Como você não está herdando a nova permissão para subpastas ou arquivos, a ABE "ocultará" as subpastas e arquivos aos quais o usuário não tem acesso, mas ainda permitirá que os usuários "Gerentes de RH" percorram a pasta de nível superior do compartilhamento.

Repita essa mudança em cada nível da hierarquia até atingir o nível em que as permissões se tornaram permissivas para "Gerentes de RH".

Fazer isso para muitos grupos diferentes pode fazer grandes ACLs em pastas e o potencial para muita dor de cabeça na administração. Acabo usando "Usuários Autenticados - Listar Conteúdo da Pasta" aplicado à raiz dos compartilhamentos com pastas restritas direto da raiz. Eu também tento manter minhas hierarquias de permissão o mais rasas possível para que eu não tenha que fazer esse truque "Esta pasta apenas" com outros grupos em níveis mais baixos, se possível.

É um hack feio, mas é a melhor maneira que eu conheço para obter uma enumeração baseada em acesso para fazer o que você quer. Um "filtro de direitos herdados" seria SO bom e faria exatamente o que queremos, mas a Microsoft não implementou isso.

(Eu nunca gostei particularmente do Netware, mas o modelo de permissão no sistema de arquivos com relação à herança em tempo real e à filtragem de herança é bem legal.)

    
por 25.06.2009 / 19:52
1

Estive lá, fiz isso. Migrado do Netware para o Win2K há cerca de 8 anos, e sim, as diferenças em como as permissões funcionam podem ser um obstáculo. O melhor conselho que posso dar é não ficar muito preso a isso e, às vezes, aceitar uma solução menos do que perfeita.

Você nunca conseguirá replicar o comportamento preciso , de modo que tudo se resume ao que é necessário para permitir que seus usuários acessem os dados de que precisam. Eu não posso dizer como fazer isso funcionar exatamente da mesma maneira que no Netware, mas eu posso dar algumas dicas sobre como evitar criar algo que possa voltar para te morder.

p>

Neste caso, pretendo manter a estrutura o mais simples possível. Dividir a pasta "auditreports" como uma pasta de grupo separada seria meu primeiro passo. Tecnicamente não há razão real para fazer isso, funcionaria bem como uma subpasta com a permissão correta, mas da perspectiva de manter seu lado da casa gerenciável, torna as coisas mais fáceis.

A próxima coisa que faço, toda vez, é colocar o UNC em uma pasta de grupo na descrição do grupo no AD. Dessa maneira, você pode escrever um script de logon que leia os grupos dos quais um usuário é membro, extraia a propriedade description e mapeia uma unidade para ele. Eu não tenho certeza se você tem AD do seu post, mas ter um script de logon que você nunca tem que atualizar economiza em um monte de sobrecarga de administração. Se você puder fazer isso em seu ambiente, faça isso.

Por fim, e voltando ao meu primeiro ponto, chegar ao compartilhamento de arquivos do Windows com o seu chapéu Netware firmemente não é uma boa ideia. Eles são diferentes SOs e eles só funcionam de forma diferente. Em um mundo ideal, você migraria e absolutamente nada mudaria tanto quanto os usuários, mas às vezes você só precisa quebrar os ovos para fazer esse omelete.

    
por 26.06.2009 / 01:36