Eu percebi isso. Meu problema era uma permissão especial perdida. Os grupos LIST precisam de atributos estendidos de leitura para que o ABE funcione.
Estou no processo de criação de um novo servidor de arquivos Windows 2008R2 e tenho alguns problemas com o Enumaration baseado em Access.
Eu não quero apenas migrar todos os dados e permissões, pois nossa estrutura cresceu ao longo dos últimos 15 anos e, para ser honesto, é uma bagunça. Então, estou tentando colocar o máximo de esforço possível nisso.
Eu configurei um DFS-N (Data) baseado em domínio onde os compartilhamentos de cada departamento (dept1 a dept 4) são publicados. Durante o teste (sim, nós temos um ambiente de teste! Sorte a gente!) Eu me deparei com um bug (?) Sobre a Access Based Emuneration. A permissão será tratada através do aninhamento de diferentes grupos permissivos. Meu problema é que adicionar um usuário a um grupo específico para um subdiretório não permite que ele veja / passe pelos diretórios pai.
O ABE está ativado no compartilhamento de arquivos e no DFS-N.
Eu criei a seguinte estrutura de diretórios:
\DFSRoot\Data\
+---dept1
| +---dir1
| | +---sub1
| | \---sub2
| +---dir2
| +---dir3
| | +---sub1
| | \---sub2
| \---dir4
+---dept2
| +---dir1
| +---dir2
| +---dir3
| \---dir4
+---dept3
| +---dir1
| +---dir2
| +---dir3
| \---dir4
+---dept4
| +---dir1
| +---dir2
| +---dir3
| \---dir4
\---dept5
+---dir1
| +---sub1
| \---sub2
+---dir2
+---dir3
\---dir4
+---sub1
\---sub2
Para cada diretório, criei 3 grupos:
Então, para \\ DFSroot \ Data \ dept1 , isso seria
dl-dept1-list
dl-dept1-ro
dl-dept1-rw
Para \\ DFSroot \ Data \ dept1 \ dir1
dl-dept1-dir1-list
dl-dept1-dir1-ro
dl-dept1-dir1-rw
E para \\ DFSroot \ Data \ dept1 \ dir1 \ sub1
dl-dept1-dir1-sub1-list
dl-dept1-dir1-sub1-ro
dl-dept1-dir1-sub1-rw
Para tudo o mais, esse esquema também se aplica.
Para cada diretório, os grupos correspondentes são membros do grupo list do próximo diretório de nível superior. Então
dl-dept1-dir1-sub1-list
dl-dept1-dir1-sub1-ro
dl-dept1-dir1-sub1-rw
é membro de dl-dept1-dir1-list
A herança não está quebrada. Esses grupos de RO / RW têm suas respectivas permissões para sua pasta e cada subdiretório dentro.
Os grupos de listas têm permissões especiais - > ListDirectory, ReadAttributes, ReadPermissions, Traverse - > Esta pasta apenas
Se eu adicionar $ User a dl-dept1-dir1-sub1-rw para conceder permissão R / W para \\ DFSroot \ Data \ dept1 \ dir1 \ sub1, o usuário poderá acessar o compartilhar dept1 (membros do dl-dept1-list), mas não vê nenhum diretório. $ Usuário não pode acessar dir1 via caminho UNC. $ User pode acessar sub1 via caminho UNC.
Se o ABE estiver desabilitado no compartilhamento, $ user pode atravessar diretórios sem problemas.
Neste ponto, estou preso e não vejo o que estou perdendo.
Talvez um de vocês possa ajudar. Desde já, obrigado.