Я работал над настройкой общего сетевого ресурса (см. Историю ниже), и у меня возникло странное поведение с разрешениями NTFS. Кажется, что объект «CREATOR OWNER» может отображать только «специальные» разрешения на вкладке «Security». Независимо от того, что я делаю, система возвращается к этой настройке. Есть ли способ заставить запись «CREATOR OWNER» перечислить что-либо, кроме Special, на вкладке безопасности? Это значительно упростило бы проверку ошибок разрешений, поскольку мне не пришлось бы погружаться в вкладку «Дополнительно», чтобы увидеть, какие разрешения я установил для этой группы. Это клиент Windows 7, подключающийся к общему ресурсу Windows Server 2008.
Бонусный вопрос:
Я также хотел бы знать, почему группа «CREATOR OWNER» не может применять разрешения к «этой папке». Это похоже на странную причуду этой группы, у которой должна быть история, объясняющая, почему все было так настроено.
Я немного поискал и нашел "Как работают разрешения" статья в технике. Я просмотрел информацию о разрешении «ВЛАДЕЛЕЦ» и нашел только некоторую информацию о том, как это разрешение работает.
[Предыстория]
Итак, у меня есть общий сетевой ресурс, где пользователи будут создавать папку для хранения своей работы над конкретным проектом. Файлы в папке каждого пользователя являются личными из-за параметров, данных мне менеджерами проекта. Вдобавок к этому параметру пользователи этой папки будут постоянно меняться в течение года, некоторые только на несколько дней. Поэтому, чтобы уменьшить административные накладные расходы, я устанавливаю разрешения следующим образом:
Я выставляю разрешения, нажимаю ОК, и все работает. Позже, когда я вернусь, чтобы добавить группу диспетчера контента на вкладку «Безопасность», я заметил кое-что странное. Запись «CREATOR OWNER» изменилась с Modify на Special. Я захожу в расширенные разрешения и замечаю, что «СОЗДАТЕЛЬ ВЛАДЕЛЬЦА» применяется только к «Подпапкам и файлам». Затем я пытаюсь сбросить раскрывающееся меню «Применить к» до «Эта папка, подпапки и файлы», но оно переключается обратно, как только я нажимаю «Применить».
Спасибо
Записи управления доступом CREATOR OWNER всегда должны быть предназначены только для наследования, потому что нет смысла применять их к какому-либо реальному объекту. При использовании последних версий Windows с современным API все записи CREATOR OWNER автоматически помечаются как предназначенные только для наследования.
В расширенном графическом пользовательском интерфейсе флаг только наследования переводится как «Только подпапки и файлы». Изменение его на «Эта папка, подпапки и файлы» приведет к снятию флажка «только наследование», что невозможно сделать для CREATOR OWNER. Базовый графический интерфейс, вероятно, не должен показывать это как особый, но я думаю, MS не думала об этом особом случае.
CREATOR OWNER в первую очередь предназначен для динамических разрешений, поскольку люди создают материалы в папке, на которую они имеют обычные права, а не ленивые разрешения. Если вы подумаете об этом таким образом, концепция может иметь больше смысла.
Это просто ограничение сопоставления списков ACL POSIX, доступных в Linux и ACL для Windows.
Говоря о папке, в ACL POSIX вы можете назначать разрешения по умолчанию для элементов, созданных внутри. Вы можете сделать это явно для именованных пользователей и групп, но есть два значения по умолчанию, которые применяются к будущим владельцам (пользователю и группе) создаваемого файла / папки.
default:user::rwx
default:group::r-x
Они сопоставлены с CREATOR OWNER и CREATOR GROUP соответственно. Они не применяются к текущему каталогу, поэтому, когда вы посмотрите в пользовательский интерфейс Windows, вы увидите, что они применяются к Subfolders and files only. Windows будет рассматривать это как особое разрешение и отображаться как таковое.
Для каждого каталога у вас также будут разрешения, назначенные владельцу и группе
user::rwx
group::rwx
Однако они сразу же переводятся на фактического владельца и группу при запросе Windows. Даже если вы предоставите ВЛАДЕЛЬЦУ-СОЗДАТЕЛЮ права на эту папку, это изменение будет потеряно, потому что Windows будет рассматривать его как изменение разрешений фактического владельца.
Итак, в пользовательском интерфейсе вы, вероятно, увидите:
Unix User - Root - Full Control, This folder only
Unix Group - Root - Full Control, This folder only
CREATOR OWNER - Full Control, Subfolders and files only
CREATOR GROUP - Read and execute, Subfolders and files only
К сожалению, я не знаю ничего, что можно было бы объединить во что-нибудь более читаемое.
И это становится немного менее сложным при работе с ACL NFSv4 ...
разрешение "создатель-владелец" - "подпапки и файлы этой папки" ограничивается системой "только подпапками и файлами".
Пользователи-создатели не могут создавать его папки.