Назад | Перейти на главную страницу

Разрешить пользователям видеть папку в общей папке Windows, но не входить в нее

Вероятно, об этом задавали где-то в другом месте, но я не могу найти вопрос, который бы точно отвечал нашему критерию.

У нас есть система Windows Server 2016 Standard, в которой работают общие файлы. Внутри одного из общих ресурсов у нас есть папка (для целей этого примера общий ресурс называется «GeneralShare», а папка - «ControlledFolder»). Мы бы хотели, чтобы сама папка была указана в общем ресурсе, но не позволяла любой пользователь, не входящий в группу «ControlledFolderAccess» в AD, чтобы иметь доступ к данным. Следовательно, любой пользователь, не входящий в группу «ControlledFolderAccess», будет знать, что папка существует, но не сможет увидеть содержимое внутри нее. (У нас также есть неявные правила доступа, такие как системные и локальные администраторы (и администраторы домена), также имеющие разрешение.)

Мы экспериментировали с набором разрешений, настраивая чтение / запись / выполнение и все итерации специальных разрешений между ними, а также экспериментировали с разрешениями «запретить». Однако мы не нашли надлежащего набора правил, который бы должным образом охватывал правила.

Кто-нибудь знает конкретный правила, которые нам нужно установить, чтобы пользователи не входили в каталог, но при этом видели, что каталог существует в самом общем ресурсе?

Вот что мы сделали в тестовом каталоге, чтобы попытаться воспроизвести:

Разрешения GeneralShare:

РАЗРЕШИТЬ ПРАВИЛА:

ОТКАЗАТЬ ПРАВИЛА:

Правила GeneralShare / ControlledFolder:

(НЕТ НАСЛЕДСТВА)

РАЗРЕШИТЬ ПРАВИЛА:

Насколько я понимаю, эти разрешения должен работает ... где-то отсутствует правило Deny, или стандартное поведение для Server 2016 просто изменено? (Эти же разрешения на сервере 2012R2, на котором есть другие общие ресурсы, работают должным образом, мы можем видеть папку, но не иметь к ней доступа, если мы не администратор и не имеем явного доступа или не в группе ControlledFolderAccess .. . но в 2016 году эти папки просто не отображаются с этими разрешениями)

Похоже, что для родительского общего ресурса включено перечисление на основе доступа, что не позволяет пользователям видеть папки, для которых у них нет разрешений. Если вы отключите ABE на родительском общем ресурсе, это должно позволить им видеть, но не получать доступ к рассматриваемой папке.