Мы - небольшой колледж, и у меня есть одна папка для легкоатлетической команды, которую я хочу передать тренеру. Мы не отслеживаем и не имеем группы для членов спортивной команды в Active Directory, и тренер хочет исключить определенных людей из определенных подпапок, поэтому я хочу, чтобы тренер имел возможность добавлять / удалять учетные записи для своей команды непосредственно в Вкладка безопасности папки самостоятельно. Он достаточно знает и технически подкован, чтобы справиться с этим.
Я не хочу, чтобы он мог добавлять / удалять какие-либо группы администрирования или специальные учетные записи: SYSTEM, Network Services (папка используется с веб-приложением), Domain Admins, AthleticDeptAdmin и т. Д.
Могу ли я предоставить ему доступ для изменения некоторых параметров безопасности, не давая доступа для удаления этих других разрешений?
Это просто. В качестве примера: создайте подпапку под названием «Футбол» и создайте соответствующую группу. Затем делегируйте право любому специалисту по легкой атлетике добавлять или удалять пользователей в группу безопасности «Футбол». Пока группа Soccer имеет достаточный доступ к NTFS ACL для папки Soccer, им вообще не нужно будет изменять права доступа к файлам.
Люди в группе «Футбол» смогут видеть подпапку «Футбол».
Краткий ответ: нет. Если пользователь может изменить разрешения на что-либо, он может изменить все разрешения. Но если вы доверяете человеку в первую очередь редактировать разрешения, разве вы не можете доверять ему, чтобы он не испортил их, удалив важные части? Или еще лучше, как насчет того, чтобы доверять им, пока они не облажались. Затем еще раз оцените ситуацию.
Единственный технический способ обойти это - предоставить своего рода интерфейс для изменения разрешений. Внешний интерфейс имеет «реальный» доступ для изменения разрешений, но позволяет пользователю изменять только разрешения, которые должны быть редактируемыми. Это слишком много для чего-то вроде этого, но теоретически это сработает.
* Изменить: я должен отметить, что даже если они удалят права администратора домена из папки, это не означает, что вы потеряете доступ навсегда. Это просто означает, что ваше приложение не работает, пока кто-то не поймет, что произошло, и не восстановит правильные разрешения. Как администратор домена вы всегда сможете сбросить права собственности на папку и повторно добавить разрешения.
Нет.
Если у вас есть доступ для изменения разрешений, вы можете изменить разрешения, включая разрешения администраторов и специальных учетных записей.
Альтернатива, которая может сработать для вас, - настроить папку для наследования разрешений от родительской папки, для которой он не может изменять разрешения. Определите разрешения, которые вы не хотите, чтобы он мог изменять там, и распространите эти разрешения вниз. Конечно, он сможет отключить наследуемые разрешения и удалить эти разрешения, но на самом деле вы мало что можете с этим поделать ... кроме как сказать ему не делать этого и предупредить его, что если он это сделает, вы отмените его доступ с изменением разрешений и с этого момента применять разрешения, которые вы считаете нужными.
(Я обнаружил, что это довольно эффективно - «Вот ваш доступ, не делайте с ним [бла] и вообще не лажайте с ним, потому что если вы это сделаете, я дерну его, и вы окажетесь в моем расписании , капризы и общая недоброжелательность. ")
РЕДАКТИРОВАТЬ: у меня действительно была другая мысль о возможном решении, так как мне назначили АдминSDHolder проблема. Вы всегда можете написать сценарий для проверки разрешений в этом дереве каталогов через регулярные промежутки времени (скажем, каждый час), при необходимости захватить право собственности, а затем повторно применить разрешения, которые вы хотите / должны иметь в дополнение к тем, что хочет тренер.
Честно говоря, мне кажется, что проблем больше, чем того стоит, когда гораздо проще предупредить / пригрозить пользователю от глупости, но YMMV. И теперь, когда я думаю об этом, это может быть решением проблемы и в моем окружении ... так что спасибо, что спросили и заставили меня подумать об этом.
Создайте группу для спортивного отдела и дайте ей необходимые разрешения (или, возможно, несколько групп, если вы хотите поддерживать разные профили разрешений, такие как только чтение, чтение-запись и т. Д.). Затем делегируйте управление группой в Active Directory, чтобы тренер мог добавлять / удалять пользователей из этой группы.
Первый результат в Google по делегированию группового управления в AD: http://codeidol.com/active-directory/active-directory/Groups/Delegating-Control-for-Managing-Membership-of-a-Group/
Изменить: я хотел прояснить, что вы создаете группы специально для предоставления разрешений, поэтому вы не захотите использовать какие-либо существующие группы Athletic Dept.