Impede que o proprietário altere as permissões no compartilhamento de rede

Navegue suas respostas
2

temos um Sun Storage Appliance (7110) com um compartilhamento SMB / CIFS configurado. Ele está unido ao nosso Active Directory. O que eu estou tentando realizar é: Usuários de domínio comuns (grupo AD embutido) devem ter acesso na unidade com direitos para modificar arquivos e pastas, mas não alterar permissões (porque um usuário pode bloquear todos os demais de uma pasta incluindo administradores ). Os usuários do grupo AD "Storage_Admins" devem ter controle total sobre a unidade. Existem dois locais para configurar os direitos do usuário: ACL do nível de compartilhamento e ACL do diretório raiz. Tanto quanto eu sei a melhor prática seria conceder a todos com controle total no nível de compartilhamento e fazer tudo na ACL do diretório raiz, mas não funciona dessa maneira. O que eu fiz até agora:

  • Nível de compartilhamento : Todos - Controle total Diretório raiz : Storage_Admins - Controle total / Usuários do domínio - Modificar Resultado : usuários do domínio pode alterar permissões em pastas que eles criaram, mas não na pasta raiz

  • Nível de compartilhamento : Todos - Modifique Diretório raiz : Storage_Admins - Controle total / Usuários do domínio - Modifique o Resultado : os usuários do domínio podem não altere as permissões nas pastas, mas os administradores também não podem alterá-las. Os usuários do domínio não podem renomear ou excluir pastas.

  • Nível de compartilhamento : Todos - Modify / Storage_Admins - Controle total Diretório raiz : Storage_Admins - Controle total / Usuários do domínio - Modifique Resultado : Os usuários do domínio não podem alterar as permissões nas pastas, mas os administradores também não podem alterá-las. Os usuários do domínio não podem renomear ou excluir pastas.

Eu li algum artigo sobre o Technet e descobri o seguinte:

The owner has an implied right to allow or deny other users permission to use the object, and this right cannot be withdrawn

Eu acho que é exatamente o problema. Se um usuário criar uma pasta, ele será o proprietário e poderá alterar as permissões nessa pasta. Então existe alguma maneira de evitar esse comportamento? Qual é a prática recomendada para configurar permissões em unidades de rede? Retirar a propriedade não é uma opção porque, aftwerwards, ninguém pode descobrir quem criou qual arquivo. Agradecemos antecipadamente.

ATUALIZAÇÃO:

  • Share Level: Everyone - Modify Root Directory: Storage_Admins - Full Control/Domain Users - Modify

Isso funciona se eu compartilhar uma pasta em uma máquina Windows normal. Eu compartilhei uma pasta de uma máquina WinXP com essas configurações. Agora, um usuário de domínio pode modificar tudo, exceto as permissões e os membros do grupo Storage_Admins, o acesso de controle total (isso é exatamente o que eu quero). Então esse problema:

Result: Domain Users can not change permissions on folders but Admins also can't change them. Domain Users can't rename or delete folders.

está obviamente relacionado ao Sun Appliance. Algo como comportamento de herança ou similar no próprio dispositivo. Eu vou olhar para isso.

    
por duenni 11.05.2011 / 14:38

2 respostas

1

Ok, descobri. No Windows, você tem apenas três opções no nível de compartilhamento: ler, alterar, controle total.

Noappliance,vocêtemoconjuntocompletodepermissõesnoníveldecompartilhamentoeumacaixasuspensaparaescolher:

Se você escolher "Modificar" no canto superior esquerdo, as marcas de seleção serão definidas de acordo. A marca de verificação "Excluir filho", no entanto, não está definida quando você escolhe "Modificar" e esse é o problema. Se eu escolher "Modificar" e marcar "Excluir filho" no nível de compartilhamento mais a configuração "Modificar" para usuários do domínio no diretório raiz, tudo funcionará como esperado.

    
por 26.05.2011 / 09:05
2

is obviously related to the Sun Appliance. Something like inheritance behaviour or similar on the appliance itself. I will look into that.

Não, é assim que as ACLs do Windows funcionam. O proprietário sempre tem permissão para alterar as ACLs em seus objetos. Você pode impedir isso de conteúdo compartilhado usando um compartilhamento que permite apenas permissões "Todos: Modificar", pois isso "filtrará" qualquer solicitação de ACL de alteração no nível do compartilhamento. Se você quiser permitir que seus administradores alterem as ACLs, basta adicionar "Administradores de armazenamento: controle total" às permissões de compartilhamento.

    
por 24.05.2011 / 13:37

Tags

PSDH e SCP para transferir arquivos O Small Business Server (SBS) do Windows Server 2003 não gera um despejo de memória no BSOD