Configurando uma conta de usuário limitada no Windows Server

Navegue suas respostas
3

Gostaria de criar uma conta de usuário em um Windows Server que possa ler os bits de C:\ necessários para executar programas, mas não tenha acesso de leitura a D:\ , exceto D:\Special . / p>

Parece que a única maneira sensata de alcançar o primeiro é tornar esse usuário parte do grupo Users . Infelizmente, isso também dá ao usuário acesso de leitura a todo o D:\ . No entanto, se eu adicionar uma regra de negação para D:\ , essa regra também se aplica a D:\Special e parece impossível substituí-la por design.

Existe alguma maneira de fazer o que eu quero, ou seja, o acesso "usual" Users a C:\ , mas D:\ sem acesso, exceto o acesso de leitura a D:\Special ?

    
por RomanSt 17.12.2011 / 18:53

2 respostas

4

Seu conteúdo em D: \ não deve estar disponível para "Usuários", pois um usuário recém-criado é colocado nesse grupo por padrão. Basta remover as entradas "Usuários" e "Todos" de D: \ e todos os subdiretórios - fazer não usar negar "ACE", pois eles efetivamente negarão o acesso de todos que são membros de "Usuários" , mesmo se o usuário tivesse acesso concedido pelos outros ACEs definidos.

Is there any way to do what I want, namely the "usual" Users access to C:\, but on D:\ no access except for read access to D:\Special?

Depende dos seus requisitos. Tecnicamente, um usuário não precisa de nenhuma permissão concedida no diretório pai para acessar um subdiretório. Mas se você precisar que o usuário consiga fazer a navegação por cliques através do Windows Explorer, obviamente será um problema se o diretório pai não puder ser listado. Suas opções aqui:

  1. apenas conceda o acesso a D:\special e remova o acesso para D: \ e crie um atalho, um mapeamento ou um link simbólico para que o usuário não precise navegar por D: \ para acessar special
  2. concede acesso a D:\special e concede apenas a permissão "List Folder Contents" ao usuário / grupo em questão sem herança . Dessa forma, o usuário poderá listar todo o diretório, mas não abrir nenhum dos arquivos ou subdiretórios.

Se os nomes de arquivos ou diretórios em D: \ não estão expondo algo confidencial, a segunda abordagem deve ser preferida, pois é mais "orgânica" e funciona melhor para as expectativas do usuário e do programador de aplicativos.

Editar: uma vez que a TomTom expressa algumas preocupações sobre se o método # 1 está realmente funcionando, aqui está uma pequena demonstração do meu sistema Windows (desculpe, o resultado é alemão, mas a ideia deve ser aparente, no entanto) 

C:\Users\denis>mkdir server

C:\Users\denis>mkdir server\fault

C:\Users\denis>echo "test" > server\fault\text.txt

C:\Users\denis>cacls server /d denis
Sind Sie sicher (J/N)?j
Bearbeitetes Verzeichnis: C:\Users\denis\server

C:\Users\denis>dir server
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: C4CB-6B0E

 Verzeichnis von C:\Users\denis\server

Datei nicht gefunden

C:\Users\denis>dir server\fault
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: C4CB-6B0E

 Verzeichnis von C:\Users\denis\server\fault

17.12.2011  21:08    <DIR>          .
17.12.2011  21:08    <DIR>          ..
17.12.2011  21:08                 9 text.txt
               1 Datei(en),              9 Bytes
               2 Verzeichnis(se), 14.307.930.112 Bytes frei

C:\Users\denis>type server\fault\text.txt
"test"
    
por 17.12.2011 / 21:06
0

Is there any way to do what I want, namely the "usual" Users access to C:\, but on D:\ no access except for read access to D:\Special?

Não, porque é necessário acessar D: \ para acessar D: \ Special. Quem teve essa ideia deixou seu bom senso na porta antes de planejar.

Isso simplesmente não é possível e não tem nada a ver com janelas - é o mesmo em qualquer sistema de arquivos hierárquico. Uma pasta em uma pasta não pode ser acessada sem qualquer acesso à pasta raiz.

    
por 17.12.2011 / 19:34

Tags

http sniffer para windows [closed] Identifique onde uma porta está bloqueada