Como configurar o ACL de NTFS com a enumeração baseada em Acces

Question

Como configurar o ACL de NTFS com a enumeração baseada em Acces

#1 resposta do (4 votos)
#2 resposta do (4 votos)

2

Estamos no processo de migração da infraestrutura do Novell NetWare para o Windows 2K8 R2 (AD, servidor de arquivos, servidor de impressão ... etc)

Minha pergunta é sobre a ACL. Embora o Netware e o Windows sejam totalmente diferentes, quero ter certeza de que meu trabalho é bom antes de estragar tudo!

Existe um cenário:

F:
|
+-- DATA <= Shared as DATA with Access based enumeration
     |
     +-- Folder 1
     +-- Team 1's Folder
     +-- Team 2's Folder
     ...

Nesse caso, por padrão, os direitos são herdados de F: para as pastas mais profundas.

O que queremos:

O grupo de administradores tem controle total de cima para baixo.
De DATA, ABE lista apenas as pastas que os usuários têm acesso. (ex: Eu estou no grupo Team 2, vejo a pasta do Team 2).

Pelo que entendi, no DATA eu removi todas as ACL do NTFS a serem herdadas (ex. Grupo de Usuários), certifique-se de manter o Grupo de Administradores e o usuário SYSTEM.

Depois disso, conceda Controle total (ou qualquer direito necessário) em cada pasta para Grupos ou Usuários que precisam ter acesso.

Estou errado? Qualquer coisa que eu deveria cuidar?

Qualquer ajuda para o meu entendimento será muito apreciada.

Atenciosamente.

ntfs windows-server-2008-r2 access-control-list icacls

por Patrick Pellegrino 20.11.2012 / 23:04

2 respostas

4

Uma coisa que eu definitivamente faria é habilitar o limite de profundidade da pasta para o qual a ABE se aplica. Sem esse limite, sérios problemas de desempenho podem ocorrer. O limite apropriado real só pode ser determinado por você, um exemplo para uma profundidade de 3 está abaixo. Isso requer uma versão do arquivo srv2.sys 6.1.7601.22055 ou superior.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanServer\Parameters]  
"ABELevel"=dword:00000003

Mais informações:

Alto uso da CPU no Windows Server 2008 R2 com ABE ativado
link

[...]
O valor da chave acima mencionada é definido da seguinte maneira:
Valor = 0: ABE está habilitado para todos os níveis (comportamento padrão sem chave também)
Valor = 1: ABE habilitado para profundidade de 1 (\ server \ share)
Valor = 2: ABE habilitado para profundidade de 2 (\ server \ share \ folder)
E assim por vários níveis.

por 21.11.2012 / 00:07

Tags ntfs windows-server-2008-r2 access-control-list icacls

servidores web IPv6 sem endereço IPv4 Como escanear apenas os arquivos das últimas 24 horas com o clamav

score 4 · Accepted Answer

Correto.

Eu não ofereço para conceder aos usuários Full Control , apesar de eu ter muitos problemas com as permissões. Por isso, concedo a eles todas as permissões, exceto as permissões Take Ownership e Change Permissions .

E eu provavelmente aconselharia a configuração de dois grupos para cada pasta que você está concedendo acesso: um para acesso somente leitura e outro para acesso de modificação, já que isso tende a aparecer muito na minha experiência, e quanto menos pessoas que podem excluir acidentalmente todos os arquivos, menos frequentemente eu tenho que fazer restaurações a partir do backup.