Использование разрешений NTFS на «прохождение», но пользователю по-прежнему запрещен доступ к общему сетевому ресурсу (SBS 2003)
У нас есть сотрудник, которому требуется доступ к одной папке в корне общей сетевой папки. Все остальные файлы и папки в общей папке должны быть недоступны для них.
Я подумал, что если я добавлю только «Просматривать папку / Выполнить файл» и «Просматривать данные папки / списка», пользователю было бы достаточно просмотреть корень общей папки; однако им запрещен доступ к самому общему сетевому ресурсу только с этими разрешениями, и поэтому они не могут перейти к подпапке, к которой им нужен доступ.
Моя цель - предоставить только абсолютный минимум разрешений, необходимых для обхода папки в корне общего сетевого ресурса.
В идеале я хочу любой новый папки, созданные в корне этого общего ресурса другими пользователями, чтобы автоматически ограничивать доступ для данного пользователя (поэтому новые папки не должны наследовать разрешения на обход для пользователя).
Вот варианты NTFS, из которых мне нужно выбрать:
Чтобы быть ясным: причина, по которой я не просто использую явные разрешения запрета на другие подпапки, заключается в том, что мне нужны любые новые подпапки, созданные персоналом, для автоматического наследования разрешений, которые не позволяют новому пользователю получить к ним доступ.
Я никогда раньше не использовал разрешения на обход, поэтому, скорее всего, совершаю здесь основную ошибку.
Любой совет будет принят во внимание.
Вы хотите Traverse Folder и List Folder как вы указали, и вы хотите установить раскрывающийся список вверху, чтобы This folder only. Затем вам нужно установить любые другие разрешения, которые вы хотите, чтобы этот пользователь имел в явной подпапке, к которой он должен иметь доступ.
Если вы не можете попасть в корневую папку с тем, что вы опубликовали, вероятно, из-за разрешений общего доступа к папке, а не из-за разрешений NTFS - дважды проверьте их.
Все пользователи по умолчанию имеют право на обход обходной проверки, поэтому я предлагаю не назначать разрешения для пользователя так, как у вас есть, а вместо этого назначать разрешения для пользователя только для того файла, к которому они вам нужны, а затем предоставить им ярлык для этого файла. Это позволит им получить доступ к файлу без необходимости напрямую перемещаться по общей папке, чтобы найти файл.
http://technet.microsoft.com/en-us/library/cc739389(v=ws.10).aspx
Если вам нужно, чтобы они напрямую перемещались / просматривали структуру общих папок, вам придется сделать это так, как предложил MDMarra в своем ответе.