у нас есть Sun Storage Appliance (7110) с настроенным общим ресурсом SMB / CIFS. Он присоединен к нашей Active Directory. Я пытаюсь выполнить следующее: обычные пользователи домена (встроенная группа AD) должны иметь доступ к диску с правами на изменение файлов и папок, но не изменять разрешения (потому что пользователь может заблокировать всех остальных из папки, включая администраторов. ). Пользователи в AD-группе Storage_Admins должны иметь полный контроль над диском. Есть два места для настройки прав пользователей: ACL уровня общего доступа и ACL корневого каталога. Насколько я знаю, наилучшей практикой было бы предоставить всем полный контроль на уровне общего доступа и делать все остальное в ACL корневого каталога, но это не работает таким образом. Что я сделал до сих пор:
Поделиться Уровень: Все - Полный доступ Корневая директория: Storage_Admins - Полный доступ / Пользователи домена - Изменить Результат: Пользователи домена могут изменять права доступа к созданным ими папкам, но не к корневой папке.
Поделиться Уровень: Все - Изменить Корневая директория: Storage_Admins - Полный доступ / Пользователи домена - Изменить Результат: Пользователи домена не могут изменять права доступа к папкам, но администраторы также не могут их изменять. Пользователи домена не могут переименовывать или удалять папки.
Поделиться Уровень: Все - Изменить / Storage_Admins - Полный доступ Корневая директория: Storage_Admins - Полный доступ / Пользователи домена - Изменить Результат: Пользователи домена не могут изменять права доступа к папкам, но администраторы также не могут их изменять. Пользователи домена не могут переименовывать или удалять папки.
Я прочитал статью о Технет и нашел это:
Владелец имеет подразумеваемое право разрешать или отказывать другим пользователям в разрешении на использование объекта, и это право не может быть отозвано.
Я думаю, что проблема именно в этом. Если пользователь создает папку, он является владельцем и может изменять права доступа к этой папке. Так есть ли способ предотвратить такое поведение? Как лучше всего настроить разрешения для сетевых дисков? Отмена права собственности - это не вариант, потому что в дальнейшем никто не сможет выяснить, кто и какой файл создал. Заранее спасибо.
ОБНОВИТЬ:
- Поделиться Уровень: Все - Изменить Корневая директория: Storage_Admins - Полный доступ / Пользователи домена - Изменить
Это работает, если я делюсь папкой на обычном компьютере с Windows. Я поделился папкой с машины WinXP с этими настройками. Пользователь домена теперь может изменять все, кроме разрешений и членов группы Storage_Admins с полным доступом (это именно то, что я хочу). Итак, эта проблема:
Результат: Пользователи домена не могут изменять права доступа к папкам, но администраторы также не могут их изменять. Пользователи домена не могут переименовывать или удалять папки.
очевидно имеет отношение к Sun Appliance. Что-то вроде поведения наследования или подобное на самом устройстве. Я займусь этим.
очевидно имеет отношение к Sun Appliance. Что-то вроде поведения наследования или подобное на самом устройстве. Я займусь этим.
Нет, так работают списки ACL Windows. Владелец всегда может изменять списки управления доступом к своим объектам. Вы можете предотвратить это для общего содержимого, используя общий ресурс, который разрешает только разрешения «Все: Изменить», поскольку это «отфильтрует» любые запросы ACL на изменение на уровне общего ресурса. Если вы хотите разрешить администраторам изменять списки управления доступом, просто добавьте «Администраторы хранилища: полный доступ» к разрешениям общего доступа.
Хорошо, разобрался. В Windows у вас есть только 3 варианта на уровне общего доступа: чтение, изменение, полный контроль.
В устройстве у вас есть полный набор разрешений на уровне общего ресурса и раскрывающийся список для выбора:
Если вы выберете «Изменить» в верхнем левом углу, галочки будут установлены соответственно. Однако отметка «Удалить ребенка» не устанавливается, когда вы выбираете «Изменить», и это проблема. Если я выберу «Изменить» и отмечу «Удалить дочерний элемент» на уровне общего ресурса, а также настройку «Изменить» для пользователей домена в корневом каталоге, все будет работать должным образом.