У меня есть машина Windows Storage Server 2008, работающая как файловый сервер нашей компании. Мне нужно предоставить кому-то доступ к той же папке и файлам в нашей папке Marketing (которая легко содержит более 100 000 файлов). Пользователю нужен доступ к Marketing / images, но больше ничего в папке маркетинга. Итак, я решил добавить права чтения в папку Marketing, а затем добавить чтение / запись в папку изображений, подпапки и файлы.
Когда я иду добавить разрешения для папки Marketing, я выбираю правильные разрешения на чтение, а затем устанавливаю для области «Только эта папка». Когда я нажимаю «Применить», кажется, что он касается каждого файла в папке «Маркетинг» (что занимает вечность). В конце концов, он только добавил свои разрешения в папку Marketing, как я и ожидал, но ему все равно пришлось коснуться всех остальных файлов.
Что он делает? Все остальные файлы наследуют свои разрешения, так что говорит ли он каждому файлу «Наследовать разрешения от Marketing, кроме пользователя John Doe»? Я что делаю неправильно?
То, что вы сделали, правильно. Замеченное вами поведение (процесс занимает «вечность», и каждый каталог и каждый файл в дереве кажется затронутым) - это просто способ реализации ACL API. Код, вероятно, не проверяет, что было изменено, поэтому он не знает, что в этом конкретном случае нет необходимости рекурсивно спускаться по дереву.
Ответ joeqwerty тоже правильный. Я хотел бы подчеркнуть, что конечным пользователям может быть неудобно работать с путями, к которым можно получить прямой доступ (с указанием полного пути), но не просматривать (перемещение вниз по иерархии в проводнике из корневого каталога вниз).
Фактически вы можете просто предоставить пользователю соответствующие разрешения непосредственно в папке изображений, не предоставляя им никаких разрешений в родительской папке. Право пользователя «Обход поперечной проверки» позволяет пользователю перемещаться по набору папок, для которых у него нет прав доступа, к папке, к которой у него есть разрешения. Обратите внимание, что пользователю необходимо будет явно получить доступ к папке с изображениями, поскольку он не сможет перейти к ней.
Из объяснения прав пользователя «Обход проверки поперечного хода»:
Обход поперечной проверки
Это право пользователя определяет, какие пользователи могут перемещаться по деревьям каталогов, даже если у пользователя может не быть разрешений на пройденный каталог. Эта привилегия не позволяет пользователю просматривать содержимое каталога, только просматривать каталоги. Это право пользователя определено в объекте групповой политики контроллера домена по умолчанию (GPO) и в локальной политике безопасности рабочих станций и серверов.
По умолчанию на рабочих станциях и серверах:
Администраторы Операторы резервного копирования Пользователи Все Локальная служба Сетевая служба
По умолчанию на контроллерах домена:
Администраторы Прошедшие проверку Пользователи Все Локальная служба Сетевая служба Доступ, совместимый с пред-Windows 2000