Como posso restringir um grupo a ler somente duas pastas particulares com o Windows Server?

3

Eu tenho um grupo de usuários no Windows Server 2003 que precisa ser capaz de ler o conteúdo de dois diretórios, mas não conseguir acessar qualquer outra coisa no servidor (incluindo o acesso somente leitura). Um dos diretórios é K:\projectFour\config - e o outro é formatado de forma semelhante - portanto, seria bom que os membros do grupo pudessem listar o conteúdo de K:\ e K:\projectFour\ , mas na verdade não leram nada nesses diretórios.

Encontrei vários recursos via SF / Google, incluindo como restringir pastas / unidades individuais e como permitir que os usuários executem apenas executáveis específicos, mas essas informações não resolveram meu problema. Desculpe se isso é uma coisa muito simples de fazer, geralmente sou um desenvolvedor e não sei a primeira coisa sobre servidores ou políticas de grupo. Finalmente, devo mencionar que esta não é uma questão totalmente concreta, pois ela será implementada eventualmente, mas eu pessoalmente não tenho uma cópia do Windows Server 2003 para testar no momento.

    
por Pops 22.04.2010 / 21:08

2 respostas

3

O NTFS é um pouco estranho (para algumas pessoas) porque o mesmo bit de acesso faz coisas diferentes quando configurado em diretórios do que quando são definidos em arquivos. Se você tem uma estrutura como essa no Server 2003:

\devsrv\projshare\projectFour\Config

Para permitir que os usuários visualizem o conteúdo do diretório "config", mas não consigam visualizar o conteúdo (apenas os metadados) dos diretórios "\" e "projectFour", várias coisas precisam ser feitas. Estou assumindo que os usuários não têm outros direitos que lhes concedam visibilidade / acesso ao topo desse compartilhamento.

  • O diretório de nível superior do compartilhamento precisa, no mínimo, de "RX" privs apenas para esse diretório. Isso pode ser definido em configurações 'Avançadas' da caixa de diálogo de permissões.
    • Coloque uma marca de verificação nos seguintes direitos, "Listar Pasta / Ler Dados", "Ler Atributos", "Ler Atributos Estendidos", "Permissões de Leitura"
    • Assegure-se de que o aplicativo Aplicar para: "Somente esta pasta"
    • Esse conjunto de direitos permite que os usuários mapeiem o compartilhamento sem um erro de acesso negado.
  • Repita este passo no diretório "projectFour".
  • No diretório 'config', conceda aos usuários o simples 'Read' correto.

Essa configuração de direitos, embora complicada, permitirá que os usuários acessem o diretório Config com um mapeamento de unidade local para a raiz compartilhada. Eles poderão entrar no diretório projectFour e visualizar suas informações de listagem de diretórios, mas nenhum outro dado.

Se você tiver disponível, icacls torna isso mais fácil:

(on server)
icacls k:\ /grant [usergroup]:(r)

(on client, if on server replace "\devsrv\projshare" with "k:")
icacls \devsrv\projshare\projectFour /grant [usergroup]:(r)
icacls \devsrv\projshare\projectFour /grant [usergroup]:(oi)(ci)(rx)

(oi) significa "objeto herdado", que significa "aplicar a arquivos".

(ci) significa "container herdar", que significa "aplicar aos diretórios".

(r) significa "Read", quando definido diretamente em diretórios significa "permitir que os usuários leiam metadados deste diretório".

(rx) significa "Ler e executar". Como (r), mas permite que os usuários executem programas nessa estrutura.

Quando usado em conjunto com a Enumeração Baseada no Acesso (disponível, IIRC, no Server 2003 R2 e superior), os usuários verão somente diretórios e arquivos aos quais eles têm acesso. No caso acima, os usuários só veriam "projectFour" sob a raiz do compartilhamento, mesmo que houvesse trinta outros diretórios na raiz.

    
por 22.04.2010 / 23:13
0

Se eu entendi o que você está procurando fazer, sua melhor aposta seria criar um grupo para os usuários que você deseja restringir e conceder a esse grupo apenas o "List Folder Contents" para as pastas que eles devem ser capazes de veja os arquivos, mas não os leia.

Você também precisará remover os usuários restritos de qualquer grupo que possa conceder-lhes acesso regular a essa pasta. Uma coisa a se observar é que, em muitos servidores de arquivos, o grupo 'Usuários do Domínio' tem acesso a pastas às quais todos devem ter acesso apenas para depois se deparar com uma situação como a sua.

    
por 22.04.2010 / 22:40