Я только что установил коробку Server 2012 Essentials R2 в качестве испытательного стенда для моего малого бизнеса. На нем запущен Essentials R2 как виртуальная машина на узле Essentials R2. Я настроил его как DC и DHCP-сервер и присоединился к клиенту.
Моя следующая задача - использовать его в качестве файлового сервера, но я не совсем уверен, как его настроить. Все взаимодействия клиента с файловым сервером будут осуществляться через клиентское программное обеспечение. Поэтому мне не нужен доступ к файлам, кроме программного обеспечения.
Я просмотрел разрешения ntfs, и есть разрешение под названием «Список папок / чтение данных», однако я не уверен, что это сделает то, что я хочу.
Можно ли предоставить доступ к файлам, но не разрешить доступ через проводник / командную строку Windows?
Это зависит от того, как именно приложение взаимодействует с файлом и пользователем.
Главный вопрос: "Есть ли способ использовать другой участник безопасности что тот из сеанса входа пользователя для доступа к файлу«? Если ответ« нет », то вы не можете его ограничить.
Более прагматично:
Если приложение является традиционным настольным приложением, используемым либо удаленно (приложение, работающее на клиентском компьютере, имеющем доступ к файлу через общий ресурс SMB), либо локально (например, через службы терминалов), то нет, вы обычно не можете ограничить доступ к файлу с помощью разрешений. потому что процесс использует личность пользователя для доступа к нему.
Если приложение является n-уровневым (например, веб-приложением), то вы обычно может наложить дополнительные ограничения на доступ к файлам данных: вы ограничиваете права пользователей и разрешаете любой уровень доступа, необходимый для участника безопасности, который будет использоваться (обычно это делается путем назначения определенной учетной записи службы службы соответствующему процессу). Однако помните о том, что n-уровневое приложение может олицетворять токен доступа пользователя. В таком случае вы должны убедиться, что файлы, которые вы хотите защитить, на самом деле вообще недоступны через SMB (например, поместив их на диск или в папку, недоступную из любого общего ресурса SMB, доступного для пользователей).
Обратите внимание, что независимо от того, какой ответ на приведенный выше, если приложение поддерживает путь UNC, вы можете уменьшить вероятность доступа пользователя к файлу, скрывая его под скрытый сетевой ресурс. Все, что вам нужно сделать, чтобы скрыть общий ресурс, - это добавить знак доллара ($) в конце его имени. Это не помешает кому-либо, кроме менее технически подкованных пользователей, получить доступ к файлу, если они этого захотят, но может предотвратить несчастные случаи.