Мы находимся в процессе переноса некоторых каталогов из NetWare в Windows и столкнулись с разницей в правах доступа. Поскольку NetWare упрощает это, у нас есть целые тома, на верхнюю часть тома у которых нет пользователей, а права предоставляются на первый, второй и третий уровни каталогов. Благодаря тому, как работает система опекунов NetWare, если у вас есть доступ к каталогу в глубине дерева, вы без проблем сможете перейти к нему из корня. Это имело удобный побочный эффект: отображались только каталоги, к которым у вас есть доступ, когда вы перечисляете каталог, в котором у вас нет прав доступа.
Проблема «только показывать каталоги, к которым у вас есть доступ» решается с помощью Microsoft Access Based Enumeration (ABE), и да, это хорошо.
Проблема, с которой мы сталкиваемся, состоит в том, чтобы выяснить, какие права и политики безопасности должны быть установлены, чтобы позволить пользователям переходить от корневого общего ресурса к каталогу, к которому у них есть доступ. Примеры упрощают объяснение.
\\server\share\finance\audit\auditreports\HR-Q4-2007
Аудиторская группа предоставляет менеджерам по персоналу права на приведенный выше каталог аудиторских отчетов («HR-Q4-2007»). В NetWare это позволит менеджерам по персоналу начать с \\ server \ share \, а затем просматривать отчеты по финансам, аудиту и аудиту, чтобы попасть в каталог. Одно разрешение, и это сработало.
Политика безопасности «Обход поперечной проверки» означает, что менеджеры по персоналу могут подключить диск напрямую к \\ server \ share \ financial \ audit \ auditreports \ HR-Q4-2007 \, и это будет работать. Это не то, что мы хотим, мы хотим, чтобы пользователь мог начинать сверху и просматривать вниз.
Требуется ли для этого использование права NTFS «Перемещение папки»? Если это так, это означает гораздо более сложную среду разрешений, но мы можем это решить. Как решается эта проблема, когда также используется ABE?
Вы ищете разрешение «Список содержимого папки» (которое включает право «Перемещение папки»), применяемое к папкам без наследования. Однако для того, чтобы перечисление на основе доступа работало, вы не можете унаследовать это разрешение вниз по иерархии, поэтому вам придется немного сойти с ума.
В корне общего ресурса добавьте разрешение «Менеджеры по персоналу - список содержимого папки», а затем в настройках «Дополнительно» установите это разрешение для применения к «Только для этой папки». Поскольку вы не наследуете новое разрешение для вложенных папок или файлов, ABE будет «скрывать» вложенные папки и файлы, к которым у пользователя нет доступа, но по-прежнему позволяет пользователям «HR-менеджеры» перемещаться по папке верхнего уровня общего ресурса.
Повторяйте это, двигаясь вниз на каждом уровне иерархии, пока не дойдете до уровня, на котором разрешения стали разрешительными для «менеджеров по персоналу».
Выполнение этого для большого количества различных групп может создать большие списки ACL для папок и создать потенциальную головную боль для администрирования. В конечном итоге я использую «Прошедшие проверку пользователи - Список содержимого папки» применительно к корню общих папок с ограниченными папками прямо из корня. Я также стараюсь, чтобы мои иерархии разрешений были как можно более мелкими, чтобы мне не приходилось делать этот трюк «Только эта папка» с другими группами на более низких уровнях, если это возможно.
Это ужасный прием, но это лучший из известных мне способов получить перечисление на основе доступа для выполнения того, что вы хотите. «Фильтр унаследованных прав» будет ТАК приятно и сделает именно то, что мы хотим, но Microsoft не реализовала такую вещь.
(Мне никогда особенно не нравилось Netware, но модель разрешений в файловой системе с учетом наследования в реальном времени и фильтрации наследования довольно приятна.)
Был там, сделал это. Мигрировали с Netware на Windows 2000 около 8 лет назад, и да, различия в том, как работают разрешения, могут стать камнем преткновения. Лучший совет, который я могу дать, - не слишком зацикливаться на этом и иногда принимать не идеальное решение.
Вы никогда не сможете воспроизвести точный поведение, так что все сводится к тому, что требуется для того, чтобы ваши пользователи могли получать нужные им данные. Я не могу сказать вам, как заставить его работать именно так же, как и в случае с Netware, но я могу дать несколько советов, как избежать создания чего-то, что может снова вас укусить.
В этом случае я бы постарался сделать структуру максимально простой. Моим первым шагом было бы разделение папки «auditreports» как отдельной групповой папки. Технически нет реальной причины для этого, это будет нормально работать как подпапка с правильными разрешениями, но с точки зрения сохранения управляемости вашей части дома это упрощает задачу.
Следующее, что я делаю каждый раз, помещаю UNC в папку группы в описании группы в AD. Таким образом, вы можете написать сценарий входа в систему, который считывает группы, членом которых является пользователь, извлекает свойство описания и сопоставляет ему диск. Я не уверен, есть ли у вас AD из вашего сообщения, но наличие сценария входа в систему, который вам никогда не нужно обновлять, позволяет сэкономить на МНОГО накладных расходов администратора. Если вы можете сделать это в своей среде, сделайте это.
Наконец, возвращаясь к моему первому пункту, переходить на общий доступ к файлам Windows с твердо надетой шляпой Netware - не лучшая идея. Это разные ОС, и просто они работают по-разному. В идеальном мире вы бы просто мигрировали, и абсолютно ничего не изменилось бы в отношении пользователей, но иногда вам просто нужно разбить эти яйца, чтобы сделать этот омлет.