Небольшое вступление: я не администратор сервера, но я оказываю техническую поддержку небольшой компании, занимающейся разработкой программного обеспечения, чей продукт требует от пользователей наличия полный контроль разрешения на подключенный диск на сервере для совместного использования файлов, необходимых для многопользовательского использования. Я считаю, что наше программное обеспечение использует базу данных Access.
Мой вопрос: допустим, у вас есть три группы пользователей: A, B и C. Для правильной работы нашего программного обеспечения пользователю потребуются права полного управления (а не только чтение / запись) на диск Z :. Допустим, группа пользователей A и B имеет полный контроль над диском Z :, но группа пользователей C не имеет никаких привилегий для диска Z :. Если пользователь является членом всех трех групп пользователей, будет ли когда-нибудь случай, когда у него не будет полного контроля над диском Z:
Думаю, я видел это в одной компании, у них были проблемы с нашим программным обеспечением, и мы попросили их предоставить всем своим группам пользователей полный контроль, и проблемы исчезли, но я хотел бы немного больше информации о том, как группы пользователей и разрешения настроить, и если это может вызвать проблемы с нашим программным обеспечением. FWIW, у меня нет возможности изменить то, что запрограммировано в нашем программном обеспечении, поэтому предлагать, чтобы оно работало по-другому (что, вероятно, должно быть), бесполезно.
Что касается разрешений Windows, существует два набора разрешений: разрешения NTFS и разрешения общего доступа.
Что касается разрешений NTFS: разрешения NTFS являются кумулятивными и используют наименее ограничительный механизм. Пользователь, который является членом нескольких групп, будет иметь наименее ограничительные разрешения из всех разрешений NTFS, предоставленных каждой группе.
Что касается разрешений общего доступа: в сочетании с разрешениями NTFS преобладают более строгие разрешения. Например, если у пользователя или группы есть разрешения NTFS Full Control, но разрешения Share - Все | Read, то действующими разрешениями (более ограничительными разрешениями) для любого пользователя или группы являются Read. Чтобы определить действующие разрешения для пользователя или группы, определите действующие разрешения NTFS, затем определите действующие разрешения общего ресурса, а затем определите более ограничительные разрешения «комбинированных» разрешений NTFS и общего ресурса, и это действующие разрешения для пользователя или группы. Большинство администраторов выбирают для разрешения общего доступа значение «Все | Полный доступ», а затем «контролируют» доступ с помощью разрешений NTFS.
Разрешения запрета почти всегда имеют приоритет над разрешениями разрешения, за исключением случая, когда явное разрешение имеет приоритет над наследуемым запретом. Приоритет разрешений NTFS можно резюмировать следующим образом:
Явное отрицание
Явное разрешение
Унаследованный отказ
Унаследовано Разрешить
Что ж, здесь задействовано несколько уровней разрешений. Я просто предполагаю, что это Windows с NTFS, но то же самое должно быть справедливо и для других ОС / файловых систем, совместимых с CIFS / SMB.
Во-первых, у вас есть Share level разрешения, а затем у вас есть FileSystem уровень разрешений. Убедитесь, что вы предоставляете доступ соответствующей группе на обоих уровнях.
Если пользователь является членом всех трех групп пользователей, будет ли когда-нибудь случай, когда у него не будет полного контроля над диском Z:?
Да, если у вас есть явный отказ в одной группе, или если ваши разрешения для общего ресурса / файловой системы не совпадают
Я почти уверен, что у вас не возникнет проблем, если ни одна из групп явно не откажется от этого разрешения ... По крайней мере, с Windows Server.