Perimssions de compartilhamento do Windows 2008 e permissão de atributos de gravação NTFS

Navegue suas respostas
1

Parece que houve uma alteração sutil na maneira como as permissões de compartilhamento e NTFS interagem no Windows 2008 R2. Em nosso aplicativo, precisamos definir a permissão Atributos de Gravação para gravar em propriedades personalizadas em documentos OLE / DB. No Windows 2003, a configuração da permissão de compartilhamento para Modify não entraria em conflito com essa configuração de NTFS, mas no Windows 2008 R2, precisamos definir a permissão de compartilhamento como Full Control ou a gravação nas propriedades personalizadas falhará.

Por favor, note que se eu tivesse o meu caminho, isso seria bom. Considero que as permissões de compartilhamento são mal projetadas e há outras maneiras melhores de tratar os usuários locais e de rede de maneira diferente, se houver alguma necessidade disso. Mas alguns de nossos clientes têm políticas rígidas de segurança.

    
por user1258221 15.07.2012 / 20:55

1 resposta

2

Não tenho certeza do que você está falando aqui. Não há permissões de compartilhamento chamadas Modify no Windows Server 2003 e no Windows Server 2008 R2:


AinteraçãoentrepermissõesdecompartilhamentoepermissõesdeNTFSpodesercomplexa.Aspermissõesdecompartilhamentotêmumavisãomuitomaissimplesdomundo.SuagranularidadeparapermissõesdecompartilhamentoestálimitadaaFullControl,ChangeeRead.Nãoháumconceitodeproprietáriodecompartilhamentoenenhuma"herança de permissões de compartilhamento". Para complicar ainda mais, você pode ter a mesma pasta compartilhada mais de uma vez, com cada compartilhamento tendo permissões independentes. Se você tiver compartilhamentos "aninhados", obterá as permissões Compartilhar de qualquer compartilhamento que você tenha mapeado.

As permissões NTFS são sempre aplicadas, mesmo que o usuário ou o processo seja remoto. O Windows levará em consideração as permissões de compartilhamento e permissões de NTFS e "calculará" suas permissões efetivas.

O processo geral é assim:

  • Reúna todas as permissões de compartilhamento e as combine. Um Deny substituirá qualquer Allowed .
  • Reúna todas as permissões NTFS que o usuário possui para o arquivo. Verifique se você considera as permissões NTFS explícitas e herdadas. Assim como com as permissões de compartilhamento, um Deny substituirá as permissões Allowed . Lembre-se de considerar que as permissões NTFS que não são herdadas ou explicitamente atribuídas são implicitamente definidas como Deny .
  • Combine as permissões Compartilhar e NTFS. Onde há uma sobreposição, o mais restritivo do conjunto é a permissão efetiva.

Você provavelmente está vendo uma interpretação mais restritiva de Modify (ou Change ?) no Windows Server 2008 R2, que é calculada com base nas permissões NTFS menos restritivas. Eu gosto de @Helge Klein não conseguiu encontrar nenhuma documentação sobre o que constitui permissões atômicas reais da "meta-permissão" Modify Share.

Como você descobriu, esse processo é complexo e propenso a erros. Torne sua vida simples e use permissões NTFS exclusivamente para seu controle de acesso. Defina suas permissões de compartilhamento para que elas sejam abertas ( DOMAIN\Authenticated Users - Full Control ) e defina as permissões NTFS para fornecer o controle de acesso desejado - algo como o seguinte é típico:

  • DOMAIN\Authenticated Users - Read
  • DOMAIN\Accounting-Users - Modify
  • DOMAIN\IT-Admins - Full Control

O token de acesso do usuário ou processo acaba contém as ACLs mais restritivas e não apenas uma união de então. Essa é a única maneira sensata de fazer isso. Caso contrário, você precisará manter e solucionar problemas de suas ACLs em dois locais separados, com dois conjuntos separados de ferramentas. Assim está o caminho da loucura.

    
por 17.12.2013 / 18:59

Tags

Método para migrar um serviço do Windows de um servidor para outro Erro do Roundcube, Postfix e autenticação SMTP (CRAM-MD5)