Назад | Перейти на главную страницу

Инструмент для управления общими папками Windows и их разрешениями

Я помню, что был инструмент для простого управления общими папками для Windows. Но я ничего об этом не помню.

В моем случае в основном используется конфигурация, но в Windows очень сложно управлять разрешениями пользователей для общих ресурсов.

Допустим, у меня следующая структура и два пользователя.

Dropbox

Пользователь A должен иметь возможность редактировать все в папках A и C. Но не должен видеть и получать доступ к папке B и не должен иметь возможность удалять папки A и C.

Пользователь B должен иметь одинаковые права доступа к папке B и не должен видеть A и C.

Общая папка должна быть доступна всем, даже если это новый пользователь.

Папка Dropbox автоматически синхронизируется с Интернетом.

Windows становится очень запутанной и запутанной, когда я реализую разрешения в свойствах папки> безопасность> расширенное окно. Не могу понять наследование и применить проверку дочерних объектов.

И если я предоставлю доступ пользователям в окне совместного использования> общего доступа, это просто, но пользователь сможет удалить корневые папки, если у него есть право на доступ к ним.

Обычно вы хотите применить свои ограничения на уровне NTFS. Сделайте свои разрешения общего доступа максимально открытыми (например, «Прошедшие проверку» или «Все», по крайней мере, изменяют доступ), а затем закрепите его с помощью разрешений безопасности NTFS.

Я бы рекомендовал создать три группы безопасности для каждого общего ресурса (чтение, изменение и запись), а затем назначить для них разрешения для папки. Затем вы добавляете пользователей и группы в эти группы, чтобы применить разрешения. Избавляет от необходимости изменять права доступа к папке каждый раз, когда пользователь меняет роль.

Если вы хотите скрыть папки, которые пользователи не могут видеть, вам нужно будет включить «Перечисление на основе доступа», поэтому в вашем случае я бы:

  1. Создайте единый общий ресурс под названием Dropbox и примените доступ на запись для всех
  2. Создайте соответствующие папки с 3 группами безопасности в каждой (чтение, запись и изменение), вы можете просто создать две (чтение и запись), если хотите упростить.
  3. Назначьте группы папкам и дайте им указанные разрешения
  4. Перейдите в «Диспетчер серверов» на файловом сервере и «Файловые службы и службы хранения -> Общие ресурсы -> щелкните правой кнопкой мыши общий ресурс -> Свойства -> Настройки -> Включить перечисление на основе доступа».

Что делает ABE, так это скрывает любые ресурсы, к которым у пользователя нет доступа хотя бы для чтения / списка.

РЕДАКТИРОВАТЬ:

Просто подумайте, но применение разрешений на запись или изменение на уровне корневой папки (например, Public в вашем примере) также позволит пользователям изменять родительскую папку. Так что кто-то может случайно переименовать "Public" в другое.

Чтобы обойти это, для групп с разрешениями на изменение (например, на запись и изменение) установите отдельное разрешение для «Чтение, запись и выполнение» как «Только эта папка», затем установите «Изменить» разрешения «Подпапки и файлы», например, наш отдел диск имеет следующее:

Итак, вы можете видеть, что есть три ACL, но только две группы.

Первый:

FS.dep.Full.Information Systems - Изменить - Подпапки и файлы

Это позволяет всем членам группы создавать и закрывать все объекты ПОД текущей папкой.

Во-вторых:

FS.dep.Full.Information Systems - чтение и выполнение - только эта папка

Это позволяет группе ЧИТАТЬ только родительскую папку (информационные системы), но не вносить в нее никаких изменений.

Затем:

FS.dep.Read.Information Systems - Изменить - Эта папка, подпапки и файлы

Которая просто дает доступ для чтения ко всему и каждому в группе.