На моем сервере Windows у меня есть общий ресурс под названием «Данные», внутри данных находятся 3 дочерние папки с именами 1, 2 и 3.
Разрешения NTFS следующие
Данные (группа AllStaff имеет здесь Modify, администраторы имеют полный контроль) -folder1 (наследует родительские разрешения) -folder2 (разрешения AllStaff были удалены, и 2 пользователя без прав администратора добавлены с разрешением Modify) -folder3 (наследует родительские разрешения)
Моя проблема в том, что каждый по-прежнему может читать и писать в папку2, даже если смотреть на разрешения NTFS, папка не наследует разрешения от родительского, и только пользователи 2 должны иметь доступ (плюс администраторы), но все могут получить к ней доступ!
Я решил начать все сначала и оставить группу AllStaff с разрешениями на изменение в папке 2, но установить флажок «Запретить» для каждого типа разрешений, я дал 2 пользователям «Изменить», теперь 2 пользователя, которые должны иметь доступ, не могут войти, они являются членами группы AllStaff, поэтому я могу понять, почему это так.
Может кто-нибудь объяснить, почему я не могу достичь своей цели? Обычно двум пользователям нужна личная папка в общей папке данных.
Большое спасибо, Скотт
NTFS не поддерживает блокировку только определенных унаследованных разрешений (это единственная функция, которую я хотел бы видеть в старой файловой системе Netware - фильтры унаследованных прав). Таким образом, вы должны проектировать свои иерархии разрешений с подходом, который предоставляет наименьшее количество разрешений на высоких уровнях и добавляет разрешения на более низких уровнях.
По сути, вы проектируете иерархию разрешений в перевернутом виде.
Я бы установил разрешение на общий ресурс "data" примерно так:
Затем я бы создал подпапки для каждого конкретного необходимого использования и предоставил разрешения на эти папки группам, которым потребуется доступ.
У этого есть приятный побочный эффект, заключающийся в том, что пользователи не могут заполнять корневую папку общего ресурса «data» своими файлами и каталогами. Если у вас еще нет проблемы с "кучей файлов" и вы делать разрешите пользователям заполнять этот корневой каталог, вы быстро попадете в такую путаницу. (У нас есть клиенты, которые потратили много денег, условно говоря, очищая беспорядочные «общие диски», потому что они не начинались с хорошей стратегии подпапок / разрешений и позволяли накапливать огромные объемы файлов в течение многих лет. Это похоже на зыбучие пески - вы застреваете в нем, и, если у пользователей есть электронные таблицы со «ссылками» на «болото», ярлыками для файлов в «болоте» и т. Д., Вы не сможете легко выбраться.)
Кроме того, вам не следует КОГДА-ЛИБО называть отдельных пользователей в разрешениях, за исключением случаев, когда каталоги полностью зависят от пользователя (например, перемещаемые папки профиля, домашние каталоги и т. д.). Все остальные разрешения, даже если они предназначены «всего для пары человек», должны быть основаны на группах. Происходит текучесть кадров, и в будущем, когда вам понадобится предоставить заменяющему сотруднику «те же права», что и человеку, которого он заменяет, вы будете рады, что вы использовали группы. Вместо того, чтобы хранить документацию обо всех разрешениях файловой системы, которые вы, возможно, установили (или, что еще хуже, придется пресмыкаться вручную), вы можете просто поместить нового пользователя в те же группы, что и заменяемый человек, и быть уверенным, что вы предоставил новому пользователю "те же права", что и замененному пользователю.
Разрешение «Запретить» в NTFS должно вызвать тревогу в вашей голове. Он редко используется в хорошо продуманных иерархиях разрешений. Как правило, если вы поймали себя на необходимости использовать «Запретить», то вы, вероятно, спроектировали все наоборот.
Следует избегать блокировки наследования разрешений, поскольку это ограничивает гибкость разрешений в будущем. Если вы собираетесь это сделать, у вас должна быть веская причина.
Каждый раз, когда вы нарушаете иерархию наследования, вы ограничиваете свою возможность добавлять разрешения на более высокий уровень иерархии, которые, очевидно, наследуются вниз.
Предположим, «начальник» подходит к вам и говорит: «Я хочу, чтобы« руководители »имели доступ для чтения ко всей общей папке« данные ». Если вы заблокировали наследование в 20 разных местах, в каждое из них потребуется добавить запись ACL. Сравните это с добавлением одной записи ACL наверху иерархии (при условии, что вы никогда не блокировали наследование где-либо в иерархии).
Отрицания всегда будут преобладать над разрешенными правилами. Поэтому, если 2 ваших пользователя входят в группу AllStaff, им будет отказано в доступе.
Что касается вашей исходной проблемы, я понимаю ваше разочарование, то, что вы описываете, не должно происходить.