Используя Server 2012 в конфигурации кластера в качестве обновления нашего основного файлового сервера (win2003), у нас возникли проблемы с использованием прав на просмотр папок и перечисления на основе доступа (ABE)
ABE действительно хорошо работает в нашей среде, когда разрешения группы настроены правильно, однако мне нужно разрешить доступ к определенным папкам в глубине структуры для отдельных пользователей, которые не входят в эти группы, используя разрешения на просмотр папки для аутентифицированных пользователей в каждой подпапке ( каждому пользователю даются явные разрешения на целевую папку, а затем ему будет предоставлен ярлык для этого пути на их рабочем столе и т. д.) Я могу заставить работать обход, когда ABE выключен, когда ABE включен, обход прерывается и проводник включен клиент (win7) не может перечислить папку или файлы внутри.
этот сервер настроен так же, как и наш предыдущий файловый сервер 2003 года, и он работает с ABE, и разрешения на перемещение в порядке, может ли кто-нибудь пролить свет на то, как выполнять ABE и обход с использованием в 2012 году, или предложить какие-либо ресурсы или инструменты для поиска at или какие-либо различия, которые были введены с 2003 года в отношении разрешений ABE или обхода?
Ответ в том, что ABE ломает Traverse. С отключенным ABE вы можете предоставить кому-либо прямой доступ в глубине структуры без необходимости предоставлять им права на всем пути вниз сверху, если на рядовом сервере есть домен по умолчанию и локальная политика. (https://technet.microsoft.com/en-us/library/Cc739389%28v=WS.10%29.aspx)
Но, «Когда для общего ресурса включено перечисление на основе доступа (ABE), оболочка (Explorer.exe) принудительно выполняет поперечную проверку, даже если включено право пользователя« Обход поперечной проверки ». Пользователь по-прежнему может перечислить содержимое каталога, запустив команду dir линия." - из https://support.microsoft.com/en-us/kb/3035058
Как дополнительное осложнение к этому вопросу, Windows 10, похоже, не уважает это. Он может напрямую перейти к общему ресурсу на сервере Windows 2008 R2, который тот же пользователь не может перейти от пользователя Windows 7. Однако могла быть какая-то разница в политиках, применяемых к двум машинам, которые я использовал для тестирования, но я в это не верю.