Servidor de Arquivos do Windows Permite que os usuários gerenciem permissões em pastas criadas por eles

Navegue suas respostas
3

Eu tenho um servidor de arquivos do Windows 2008 R2 que atende clientes Win e Mac (SMB). Eu tenho 5 pastas: Happy Sad Lonely Stinky e Grumpy. Todas as pastas devem ser públicas para usuários do domínio, exceto Happy e Sad, que devem ser restritos aos grupos de segurança Happy e Sad (Active Directory). Eu quero que todos com acesso para poder criar pastas e arquivos, mas não consiga excluir os compartilhamentos de raiz. Eles devem ser capazes de excluir arquivos e pastas dentro dos compartilhamentos. Além disso, desejo que o proprietário do criador dos arquivos e pastas possa alterar as permissões para que elas possam restringir uma pasta que criam a uma pessoa ou grupo. A herança de permissões parece dificultar essa tarefa. Por favor, ajude.

    
por Gregg L 10.01.2013 / 22:22

1 resposta

4

O que você está procurando é bem possível, mas usabilidade é um grande desafio. Tudo pode ser feito através de chamadas de linha de comando (no Windows, os usuários do Mac vão ficar sem sorte), com complexidade variada, mas a GUI é inteiramente no domínio do "Avançado".

Conceda ao criador-proprietário a capacidade de fazer o que quiser com arquivos e diretórios criados, mas não fazer nada ao diretório de nível superior: 

icacls grumpy /grant *S-1-5-11:(Rx)             # Authenticated Users: RO top
icacls grumpy /grant *S-1-5-11:(io)(M)          # Grant Auth users Modify to subs
icacls grumpy /grant *S-1-3-0:(io)(oi)(ci)(f)   # Creator-Owner for new objs

Isso criará um diretório do Grumpy onde os Usuários Autenticados não poderão excluir o Grumpy, mas poderão fazer quase qualquer coisa abaixo dele, e QUALQUER COISA para qualquer coisa que eles realmente criem.

As versões do grupo restrito são muito semelhantes: 

icacls happy /grant happy-people:(Rx)
icacls happy /grant happy-people:(io)(M)
icacls happy /grant *S-1-3-0:(io)(oi)(ci)(f)

O direito (F) oferece aos usuários a capacidade de fazer qualquer coisa, incluindo modificar listas de acesso.

Quanto ao resto do seu pedido, é aqui que entram os fatores de usuário ruins. Como eu disse, isso pode ser feito, mas treinar seus usuários para fazer isso da maneira correta será um desafio contínuo (e os usuários do Mac ficarão sem sorte).

Um usuário que decide bloquear uma determinada pasta que criou para as pessoas certas: 

icacls grumpy\Newsbits /inheritance:d
icacls grumpy\Newsbits /remove *S-1-5-11
icacls grumpy\Newsbits /grant grumpy-news:(oi)(ci)(M)

O primeiro passo é bloquear a herança.
O segundo passo é remover o direito que concede a todos os outros acessos.
O terceiro passo é conceder os direitos ao grupo extra.

Quando fica realmente ruim é quando você tenta fazer isso em um dos diretórios restritos. 

icacls happy\mystuff\Newsbits /inheritance:d
icacls happy\mystuff\Newsbits /remove happy-people
icacls happy\mystuff\Newsbits /grant happy-news:(oi)(ci)(M)

O mesmo fluxo de trabalho, mas seus usuários têm um problema: eles não podem começar em "feliz" e navegar para baixo. Eles precisam acessar o diretório happy\mystuff\Newsbits diretamente. Quando isso acontece, você PODE fazê-lo funcionar, mas envolve a modificação da ACL no diretório mystuff para permitir a passagem. 

icacls happy\mystuff /grant happy-news:(rd)

Tudo isso pode ser feito através da GUI do Windows, mas o icacls torna a documentação muito mais fácil.

Como eu disse, pode ser feito. Mas não o que você chamaria de útil.

    
por 10.01.2013 / 23:35

Tags

Outlook 2010 pendurado, arquivo PST de 50 GB Salve saída e código de saída do comando para arquivos no windows