Я занимаюсь созданием нового файлового сервера Windows 2008R2, и у меня есть некоторые проблемы с перечислением на основе доступа.
Я не хочу просто переносить все данные и разрешения, поскольку наша структура выросла за последние ~ 15 лет и, честно говоря, это беспорядок. Поэтому я стараюсь приложить к этому как можно больше усилий.
Я установил DFS-N (данные) на основе домена, где публикуются общие ресурсы для каждого отдела (от dept1 до dept 4). Во время тестирования (да, у нас есть тестовая среда! Нам повезло!) Я наткнулся на ошибку (?), Касающуюся Emuneration на основе доступа. Разрешение будет обрабатываться путем вложения различных разрешающих групп. Моя проблема в том, что добавление пользователя в определенную группу для подкаталога не позволяет ему видеть / перемещаться по родительским каталогам.
ABE включен как на файловом ресурсе, так и на DFS-N.
Я создал следующую структуру каталогов:
\\DFSRoot\Data\
+---dept1
| +---dir1
| | +---sub1
| | \---sub2
| +---dir2
| +---dir3
| | +---sub1
| | \---sub2
| \---dir4
+---dept2
| +---dir1
| +---dir2
| +---dir3
| \---dir4
+---dept3
| +---dir1
| +---dir2
| +---dir3
| \---dir4
+---dept4
| +---dir1
| +---dir2
| +---dir3
| \---dir4
\---dept5
+---dir1
| +---sub1
| \---sub2
+---dir2
+---dir3
\---dir4
+---sub1
\---sub2
Для каждого каталога я создал 3 группы:
Таким образом, для \\ DFSroot \ Data \ dept1 это было бы
dl-dept1-list
dl-dept1-ro
dl-dept1-rw
Для \\ DFSroot \ Data \ dept1 \ dir1
dl-dept1-dir1-list
dl-dept1-dir1-ro
dl-dept1-dir1-rw
И для \\ DFSroot \ Data \ dept1 \ dir1 \ sub1
dl-dept1-dir1-sub1-list
dl-dept1-dir1-sub1-ro
dl-dept1-dir1-sub1-rw
Для всего остального тоже применима эта схема.
Для каждого каталога соответствующие группы являются членами список группа к следующему каталогу верхнего уровня. Так
dl-dept1-dir1-sub1-list
dl-dept1-dir1-sub1-ro
dl-dept1-dir1-sub1-rw
являются членами dl-dept1-dir1-list
Наследование не нарушено. Эти группы RO / RW имеют соответствующие права доступа к своей папке и каждому подкаталогу внутри.
Группы списков имеют особые разрешения -> ListDirectory, ReadAttributes, ReadPermissions, Traverse -> Только эта папка
Если я добавлю $ User в dl-dept1-dir1-sub1-rw чтобы предоставить разрешение R / W на \\ DFSroot \ Data \ dept1 \ dir1 \ sub1, пользователь может получить доступ к общему ресурсу dept1 (члены dl-dept1-list), но не видит никаких каталогов. $ User не может получить доступ к dir1 через UNC-путь. $ Пользователь может получить доступ к sub1 через UNC-путь.
Если ABE отключен на share $, пользователь может без проблем перемещаться по каталогам.
На данный момент я застрял и не вижу, что мне не хватает.
Может быть, кто-нибудь из вас сможет помочь. Заранее спасибо.
Я понял. Моя проблема заключалась в отсутствии специального разрешения. Группам LIST необходимо читать расширенные атрибуты для работы ABE.