Назад | Перейти на главную страницу

Беспорядок с разрешениями общего доступа к папкам в SBS 2008

Я наткнулся этот вопрос задан пару лет назад о настройке разрешений с помощью сценария и надеялся, что может быть аналогичный сценарий, который подойдет для меня с моей проблемой.

По сути, у меня есть 3 общих папки в сети - две из которых имеют разрешения, которые стали настолько запутанными, что я хотел бы удалить общие ресурсы - сбросить все разрешения на то, что они были бы при начальной настройке моей установки SBS, а затем для запуска с нуля.

Эти общие ресурсы не являются папками, перенаправляемыми пользователем, или чем-то в этом роде - это просто файлы DocShares, которые я установил на моем диске D:

Одна самая упрощенная общая папка, доступная для всех аутентифицированных пользователей, работает, как и планировалось, и с ней никогда не связывались.

Второй тоже был хорош до недавнего времени и содержит конфиденциальные данные бухгалтерского учета и т. Д. И доступен только трем пользователям. В этом общем ресурсе есть папка, к которой я намеревался предоставить доступ трем дополнительным пользователям, чтобы упростить документооборот внутри нашей системы учета.

Именно здесь и начались все проблемы, поскольку я не мог понять, что независимо от того, какие разрешения я дал этим трем пользователям для `` лиц, только утверждающих документы '' - они никогда не получат соответствующий доступ к папке внутри из-за результирующего правила наиболее ограничительного разрешения заключаются в том, что у них нет прав на родительскую папку.

Тем не менее, мой план состоит в том, чтобы переместить эту папку из этого каталога (она не обязательно должна быть там), а затем снова настроить всех с нуля, но не без сброса всех разрешений NTFS для этих папок, чтобы очистить беспорядок, который я создается в процессе.

Большое спасибо за ваше понимание и помощь, так как я действительно в растерянности и не хочу перестраивать эту коробку с нуля, чтобы все это разобрать.

Пока вы запрашиваете сценарий, я думаю, что использование графического интерфейса для простого рекурсивного сброса всех разрешений файловой системы для каталога было бы гораздо более простым подходом, если бы вам нужно было сбросить только несколько каталогов. Базовый план (украдено из блога MSDN):

  1. Запустить экземпляр Windows Explorer
  2. Перейдите к родительскому элементу папки, для которой вы хотите сбросить разрешения.
  3. Щелкните папку правой кнопкой мыши и выберите «Общий доступ и безопасность ...».
  4. Перейдите на вкладку Безопасность.
  5. Нажмите кнопку Advanced
  6. Установите необходимые разрешения - обычно вы хотите, чтобы администраторы, система, 7. и владелец-создатель имели полный контроль.
  7. Установите флажок Заменить записи разрешений для всех дочерних объектов показанными здесь записями, которые применяются к дочерним объектам.
  8. Нажмите ОК
  9. Нажмите Да в появившемся диалоговом окне с вопросом, уверены ли вы
  10. Подождите, пока Windows рекурсивно применяет указанные разрешения ко всем подпапкам и файлам.

Важнейшей частью, очевидно, является флажок для замены записей разрешений для всех дочерних объектов:

Кроме того, идея сужения разрешений для папок от более строгих к менее строгим всегда является отличной с точки зрения управления системой - таким образом намного проще документировать и управлять. Однако ваше наблюдение, что

они никогда не получат соответствующий доступ к папке внутри из-за результирующего правила наиболее ограничительных разрешений, заключающегося в том, что у них нет прав на родительскую папку

неточно. Windows не заботится о родительских каталогах при проверке контроля доступа. Если ваши пользователи не будут щелкать \ server -> \ Accounting -> утверждение документа в проводнике Windows, а просто введите (или используйте открытие ссылки) \\server\accounting\document approval вы увидите, что он волшебным образом открывается, даже если разрешения разрешают доступ только для подкаталога. Так что не позволяйте этому вызывать у вас ложное чувство безопасности, если вы когда-либо намеренно создадите такую ​​установку.