Хорошо, ребята, я не думаю, что это возможно, но:
Есть клиент, которому нужно разрешить пользователям домена читать файлы в каталоге.
Загвоздка в том, что он НЕ хочет, чтобы они ПРОСМОТРЕЛИ каталог.
в основном, они знают имя файла и местоположение, поэтому могут открыть его напрямую. (предположим, что они будут вставлять весь путь \ имя файла в диалог открытия / открытия файла.
Есть какой-либо способ сделать это?
Кроме того, они не должны видеть структуру каталогов, хотя это может быть нормально.
Я считаю, что все эти файлы нужно разместить за интерфейсом приложения, дать разрешения (веб) приложению и удалить весь прямой доступ пользователей домена к файлам. Используйте безопасность приложений.
Приветствуются предложения по другим методам. У меня нет полной информации об арке приложения, но, поскольку она полностью файловая, я считаю, что для этого необходимо написать интерфейсную часть. (Обратите внимание, что я прикладник, а не админ. Я играю только админа на телевидении ... Я знаю достаточно админки, чтобы быть чрезвычайно опасным, поэтому не нужно быть СЛИШКОМ упрощенно)
Проблема с вашей настройкой (при условии, что я правильно понимаю это как «иметь все файлы в одном каталоге») заключается в том, что умный клиент может угадать имена файлов других людей и получить доступ к их данным, поэтому не имеет значения, что они не могут просматривать, важно только то, что они могут забрать любой файл по имени, а это означает файлы других клиентов.
Другими словами, безвестность не означает безопасности, только то, что она вне поля зрения, вне разума. Кто-то с небольшим воображением придет и увидит это насквозь.
Я бы переосмыслил этот подход и, возможно, изолировал каждого клиента до подкаталога, к которому только у них есть разрешения. Тогда вы сможете изолировать клиента от этого места, только поделившись определенным уровнем каталога клиента вверх ... и они смогут просматривать все, что захотят, потому что больше нечего видеть. Когда они подключаются / входят в систему, они получают права доступа только к «своему каталогу» ... не имеет значения, что есть другие каталоги, потому что они не получают к ним доступа (не имея необходимых прав).
Это должно быть довольно легко. Включите ABE (перечисление на основе доступа) для общего ресурса и убедитесь, что вы правильно установили разрешения NTFS для файлов и папок в общей папке.
http://technet.microsoft.com/en-us/library/dd772681(WS.10).aspx
В качестве альтернативы, право пользователя Обход поперечной проверки предоставляет группе «Все» (по умолчанию) возможность просматривать папки, для которых у них нет разрешений NTFS, для доступа к файлам, для которых у них есть разрешения NTFS. Вот что надо делать:
Предоставьте группе «Все» разрешения на изменение и чтение на общем ресурсе.
Установите соответствующие разрешения NTFS для папок и файлов в общей папке.
Затем пользователь может получить доступ к файлам напрямую через
\\servername\sharename\foldername\filename
Если у вас правильно установлены разрешения для общего ресурса и NTFS, пользователи смогут получить доступ к соответствующим файлам, не имея возможности просматривать содержимое общего ресурса.
Совместное использование определенного каталога (и не выше) в Windows так же просто, как щелкнуть правой кнопкой мыши нужную папку, щелкнуть «Поделиться» и добавить пользователей.
Когда они захотят получить к нему доступ, они будут использовать UNC-путь \\ server.domain.local \ name_of_shared_folder.
Это оно!*
* Убедитесь, что DNS настроен правильно. Еще раз проверьте брандмауэр.