servidor de arquivos do Windows e ABE

3

Estou no processo de criação de um novo servidor de arquivos Windows 2008R2 e tenho alguns problemas com o Enumaration baseado em Access.

Eu não quero apenas migrar todos os dados e permissões, pois nossa estrutura cresceu ao longo dos últimos 15 anos e, para ser honesto, é uma bagunça. Então, estou tentando colocar o máximo de esforço possível nisso.

Eu configurei um DFS-N (Data) baseado em domínio onde os compartilhamentos de cada departamento (dept1 a dept 4) são publicados. Durante o teste (sim, nós temos um ambiente de teste! Sorte a gente!) Eu me deparei com um bug (?) Sobre a Access Based Emuneration. A permissão será tratada através do aninhamento de diferentes grupos permissivos. Meu problema é que adicionar um usuário a um grupo específico para um subdiretório não permite que ele veja / passe pelos diretórios pai.

O ABE está ativado no compartilhamento de arquivos e no DFS-N.

Eu criei a seguinte estrutura de diretórios:

\DFSRoot\Data\
+---dept1
|   +---dir1
|   |   +---sub1
|   |   \---sub2
|   +---dir2
|   +---dir3
|   |   +---sub1
|   |   \---sub2
|   \---dir4
+---dept2
|   +---dir1
|   +---dir2
|   +---dir3
|   \---dir4
+---dept3
|   +---dir1
|   +---dir2
|   +---dir3
|   \---dir4
+---dept4
|   +---dir1
|   +---dir2
|   +---dir3
|   \---dir4
\---dept5
    +---dir1
    |   +---sub1
    |   \---sub2
    +---dir2
    +---dir3
    \---dir4
        +---sub1
        \---sub2

Para cada diretório, criei 3 grupos:

Então, para \\ DFSroot \ Data \ dept1 , isso seria

dl-dept1-list
dl-dept1-ro
dl-dept1-rw

Para \\ DFSroot \ Data \ dept1 \ dir1

dl-dept1-dir1-list
dl-dept1-dir1-ro
dl-dept1-dir1-rw

E para \\ DFSroot \ Data \ dept1 \ dir1 \ sub1

dl-dept1-dir1-sub1-list
dl-dept1-dir1-sub1-ro
dl-dept1-dir1-sub1-rw

Para tudo o mais, esse esquema também se aplica.

Para cada diretório, os grupos correspondentes são membros do grupo list do próximo diretório de nível superior. Então

dl-dept1-dir1-sub1-list
dl-dept1-dir1-sub1-ro
dl-dept1-dir1-sub1-rw

é membro de dl-dept1-dir1-list

A herança não está quebrada. Esses grupos de RO / RW têm suas respectivas permissões para sua pasta e cada subdiretório dentro.

Os grupos de listas têm permissões especiais - > ListDirectory, ReadAttributes, ReadPermissions, Traverse - > Esta pasta apenas

Se eu adicionar $ User a dl-dept1-dir1-sub1-rw para conceder permissão R / W para \\ DFSroot \ Data \ dept1 \ dir1 \ sub1, o usuário poderá acessar o compartilhar dept1 (membros do dl-dept1-list), mas não vê nenhum diretório. $ Usuário não pode acessar dir1 via caminho UNC. $ User pode acessar sub1 via caminho UNC.

Se o ABE estiver desabilitado no compartilhamento, $ user pode atravessar diretórios sem problemas.

Neste ponto, estou preso e não vejo o que estou perdendo.

Talvez um de vocês possa ajudar. Desde já, obrigado.

    
por humble.adm1n 05.07.2016 / 09:17

1 resposta

2

Eu percebi isso. Meu problema era uma permissão especial perdida. Os grupos LIST precisam de atributos estendidos de leitura para que o ABE funcione.

    
por 06.07.2016 / 18:54