Назад | Перейти на главную страницу

Файловый сервер Windows и ABE

Я занимаюсь созданием нового файлового сервера Windows 2008R2, и у меня есть некоторые проблемы с перечислением на основе доступа.

Я не хочу просто переносить все данные и разрешения, поскольку наша структура выросла за последние ~ 15 лет и, честно говоря, это беспорядок. Поэтому я стараюсь приложить к этому как можно больше усилий.

Я установил DFS-N (данные) на основе домена, где публикуются общие ресурсы для каждого отдела (от dept1 до dept 4). Во время тестирования (да, у нас есть тестовая среда! Нам повезло!) Я наткнулся на ошибку (?), Касающуюся Emuneration на основе доступа. Разрешение будет обрабатываться путем вложения различных разрешающих групп. Моя проблема в том, что добавление пользователя в определенную группу для подкаталога не позволяет ему видеть / перемещаться по родительским каталогам.

ABE включен как на файловом ресурсе, так и на DFS-N.


Я создал следующую структуру каталогов:

\\DFSRoot\Data\
+---dept1
|   +---dir1
|   |   +---sub1
|   |   \---sub2
|   +---dir2
|   +---dir3
|   |   +---sub1
|   |   \---sub2
|   \---dir4
+---dept2
|   +---dir1
|   +---dir2
|   +---dir3
|   \---dir4
+---dept3
|   +---dir1
|   +---dir2
|   +---dir3
|   \---dir4
+---dept4
|   +---dir1
|   +---dir2
|   +---dir3
|   \---dir4
\---dept5
    +---dir1
    |   +---sub1
    |   \---sub2
    +---dir2
    +---dir3
    \---dir4
        +---sub1
        \---sub2

Для каждого каталога я создал 3 группы:

Таким образом, для \\ DFSroot \ Data \ dept1 это было бы

dl-dept1-list
dl-dept1-ro
dl-dept1-rw

Для \\ DFSroot \ Data \ dept1 \ dir1

dl-dept1-dir1-list
dl-dept1-dir1-ro
dl-dept1-dir1-rw

И для \\ DFSroot \ Data \ dept1 \ dir1 \ sub1

dl-dept1-dir1-sub1-list
dl-dept1-dir1-sub1-ro
dl-dept1-dir1-sub1-rw

Для всего остального тоже применима эта схема.

Для каждого каталога соответствующие группы являются членами список группа к следующему каталогу верхнего уровня. Так

dl-dept1-dir1-sub1-list
dl-dept1-dir1-sub1-ro
dl-dept1-dir1-sub1-rw

являются членами dl-dept1-dir1-list

Наследование не нарушено. Эти группы RO / RW имеют соответствующие права доступа к своей папке и каждому подкаталогу внутри.

Группы списков имеют особые разрешения -> ListDirectory, ReadAttributes, ReadPermissions, Traverse -> Только эта папка

Если я добавлю $ User в dl-dept1-dir1-sub1-rw чтобы предоставить разрешение R / W на \\ DFSroot \ Data \ dept1 \ dir1 \ sub1, пользователь может получить доступ к общему ресурсу dept1 (члены dl-dept1-list), но не видит никаких каталогов. $ User не может получить доступ к dir1 через UNC-путь. $ Пользователь может получить доступ к sub1 через UNC-путь.

Если ABE отключен на share $, пользователь может без проблем перемещаться по каталогам.

На данный момент я застрял и не вижу, что мне не хватает.

Может быть, кто-нибудь из вас сможет помочь. Заранее спасибо.

Я понял. Моя проблема заключалась в отсутствии специального разрешения. Группам LIST необходимо читать расширенные атрибуты для работы ABE.