Назад | Перейти на главную страницу

Должен ли пользователь домена, владеющий папкой, создавать подпапки (Windows Server 2008 R2)

При развертывании нашего серверного приложения на Windows Sever 2008 R2 мы создаем папку в «C: \ Program Files» с локальным администратором и меняем владельца папки на владельца конкретного пользователя домена.

Когда приложение работает под этим пользователем домена, ему отказывают в доступе при попытке создать подпапку.

Мои предположения:

  1. Что касается списков ACL, то между пользователем домена или локальным пользователем, являющимся владельцем папки, практически нет никакой разницы.
  2. Что, будучи владельцем папки, они имеют права «Создатель-владелец».
  3. Будучи «владельцем-создателем», они имеют необходимые разрешения для чтения / записи в папку без необходимости вносить какие-либо дополнительные изменения ACL.
  4. Что никакие родительские папки, т.е. "Program Files" не налагают никаких ограничений. В конце концов, пользователь является владельцем и «Создателем-владельцем».

Поскольку пользователь домена не может создавать подпапки, не могли бы вы сказать мне, что не так с моими предположениями?

Есть ли у «Создателя-владельца» права на изменение этой папки? Если вы посмотрите на действующие разрешения для этого пользователя, изменяются ли права?

Смена владельца папки не означает, что все ваши предположения верны. Посмотреть здесь:

http://networkadminkb.com/KB/a80/creator-owner-explained.aspx

По замыслу, владелец объекта может только настроить, как устанавливаются разрешения и кому они предоставляются. По умолчанию владельцу обычно автоматически предоставляются разрешения на чтение, запись или изменение через какую-либо другую группу, но это не должно быть так.

и:

2) Если владелец объекта меняется, права доступа к объекту не переходят к новому владельцу.

По сути, вашему приложению, скорее всего, потребуется предоставить пользователю дополнительные права на эту папку, которых он не просто владелец.

  1. Если User1 и User2 имеют полный контроль над папкой, исключая любые другие конфигурации ACL или GPO, вы правильно предполагаете, что у них одинаковый эффективный доступ. Однако пользователь домена и / или приложение, скорее всего, передает учетные данные, отличные от настроенных разрешений папки. Ты можешь пойти в http://live.sysinternals.com и загрузите AccessEnum и ADInsight для устранения неполадок при эффективном доступе к объектам локальных и доменных пользователей. Я бы начал с локального запуска ADInsight, чтобы узнать, какие учетные данные передает приложение, если оно по какой-то причине находится в черном ящике.

  2. CREATOR OWNER в локальном контексте обычно по умолчанию использует TrustedInstaller или локальную группу. Боб мог создать папку «Учет» на своем локальном компьютере, но Боб смог создать эту папку только потому, что он локальный администратор. В результате владельцем является группа% hostname% \ Administrators. Пытаясь вызвать эту папку удаленно из учетной записи пользователя домена, вы захотите указать учетные данные "\ remotecomptuer \ bob'slocalusername".

  3. CREATOR OWNER только полустатически назначает разрешения владельцу. Назначение не изменяется на нового владельца, если он указан. Для получения дополнительной информации это может помочь: http://networkadminkb.com/KB/a80/creator-owner-explained.aspx

  4. Щелкните папку правой кнопкой мыши, Свойства -> Безопасность -> Дополнительно -> Снимите флажок «Включить наследуемые разрешения от родительского объекта» -> Нет / Удалить -> Применить / ОК и т. Д.