Во-первых, извиняюсь, если часть моей терминологии неверна, я новичок в работе с сетями Windows и Active Directory.
Мы работаем на файловом сервере Windows Server 2008R2, и мне было поручено реструктурировать один из наших сетевых ресурсов. По умолчанию общий ресурс должен быть доступен для всех аутентифицированных пользователей с несколькими папками (например, \\share\manager_1, \\share\manager_2), чтобы быть ограниченным только определенными людьми (manager_1 и manager_2). Я также хочу, чтобы эти папки не были видны пользователям, у которых нет к ним доступа - перечисление на основе доступа творит чудеса для этого. Все идет нормально.
Теперь проблема возникает, когда менеджер хочет создать подпапку в своей собственной папке (\\share\manager_1\sub_folder_1) и поделитесь этой папкой с другим пользователем. Мы дали менеджерам возможность устанавливать свои собственные разрешения для папок в собственной папке менеджеров, поэтому manager_1 может дать user_1 доступ к \\share\manager_1\sub_folder_1, ОДНАКО в этом сценарии:
user_1 не может перейти вниз по дереву общих каталогов к \\share\manager_1\sub_folder_1 потому что разрешение "список папок" не предоставляется им автоматически на \\share\manager_1 - поэтому перечисление на основе доступа скрывает manager_1 папку из них.
Даже с разрешением на просмотр папок пользователь_1 не может напрямую перейти к \\share\manager_1\sub_folder_1 Путь UNC, ABE имеет приоритет над «папками перемещения».
В самом деле Мне нужен способ заставить ABE работать, но с «обратным разрешением» распространение разрешения «список папок» - так что в приведенном выше сценарии user_1 сможет развернуть дерево каталогов до sub_folder_1 НО не сможете увидеть какое-либо содержимое manager_1 папка (бар, очевидно sub_folder_1 сам).
Потратив несколько часов на то, чтобы понять, как это сделать, я понял, что есть функция под названием «Динамическое наследование» в эквиваленте Novell для Active Directory, которая делает именно это. Есть ли способ добиться этого в среде на базе Windows?
Любая помощь очень ценится.
Я недавно был и остаюсь на твоем месте.
Вам нужно не только разрешение папки списка.
Тебе понадобится
Travese Folder
List Folder
Read attributes
Read extended attributes
Read permissions
К сожалению, в Windows нет эквивалента функциональности, предлагаемой Novell.
Кроме того, разрешение пользователям управлять разрешениями по некоторым причинам не является хорошей идеей.
Сначала это будет кошмар для одитинга. Ни вы, ни ваш менеджер не отследите и не узнаете, кто к какой директории имеет доступ.
Во-вторых, в конце дня ваша ИТ-служба / служба поддержки должны будут поддерживать менеджеров в устранении неполадок в некоторых проблемных ACL / ACE.
В нашей организации мы создаем для каждой папки 3 разрешающие группы с помощью сценария PowerShell и добавляем их в ACL папки. Затем мы добавляем пользователей, которым необходим доступ к этим ресурсам, в соответствующие группы AD для предоставления доступа.
Возможно, следующая ссылка (моя ветка по той же теме) вдохновит вас.
