Есть папки пользователей в Windows server 2016. Используется как файл сервер, Все пользователи в домене. Первоначально была задача ограничить доступ к папкам пользователям в домене, чтобы только владелец папки имел доступ к ней. Это не проблема. Также нужно, чтобы пользователи могли бросать файлы в любую папку но доступ на просмотр или изменение этого файла имел только владелец папки. Соответственно изменил права пользователям на write, убрал "inherited permissions". владелец папки имеет полный пермишн. Но теперь владелец папки не может открыть переброшенный файл - нет разрешения. Загвоздка в том, что не могу найти как разрешить доступ к файлам владельцам соответствующих папок так, чтобы другие не могли иметь возможность просматривать или редактировать файлы в этих папках. Надеюсь правильно объяснил.
В дополнение к вопросу. Предположим Есть пользователи 1, 2, 3, 4, 5. И есть соответствующие папки для каждого пользователя на сервере. Любой из пользователей должен иметь возможность класть документ в любую папку. Но. Только пользователь для которого предназначена определенная папка может открыть этот файл, изменить его и т.д. Назначил права на каждую папку. Например, для пользователя 1 создал папку 1 и во вкладке безопасность задал полный доступ для пользователя 1, других пользователей удалил. но тогда другие пользователи не смогут бросать файлы в папку 1 т.к. у них нет соответствующих прав. Вопрос, как назначить эти права пользователям 2, 3, 4, 5, чтобы они могли копировать файлы в папку 1, но не могли эти файлы открывать, просматривать и т.д.
Еще одно уточнение. Все пользователи домена входят в общую группу. И поэтому, общее ограничение прав доступа всех пользователей автоматически распространяется и на владельца папки. Т.е. поставив ограничение на вход в папку всем пользователям ограничит доступ и для владельца. Можно вручную прописать каждому пользователю права, но для 50-60 пользователей и такого же количества папок это изнурительный труд. Может есть возможность избежать этого,
Вы не сможете реализовать задачу именно в такой схеме, без кучи дополнительных костылей.
Для того, чтобы положить файл в папку - надо иметь право на чтение каталога и запись в каталог. И в тоже время вы говорите, что пользователю запрещено делать чтение и запись файлов.
"На пальцах" - это примерно так: вам дали ключ от офиса 311, но отобрали пропуск в здание, и охрана вас не пускает.
Было бы сильно лучше не изобретать костыли и велосипеды, а переформулировать задачу с учетом реальной цели в работе организации.
чтобы пользователи могли бросать файлы в любую папку но доступ на просмотр или изменение этого файла имел только владелец папки
а цель всего этого? так то пользователь имеет у себя копию файла, в любой момент может этот файл изменить и снова закинуть в любую папку (а вдруг в файле зараза какая-нибудь?), и все потуги владельца папки по изменению файла накрываются медным тазом.
или я неправильно понял задачу?
Сами права на файлы/папки можно править несколькими способами:
1. через GUI: свойства папки/файла - Безопасность - Дополнительно
2. через командную строку: icacls
3. PowerShell: родными командлетами (Get-Acl/Set-Acl) или сторонний модуль NTFSSecurity
Задача в том, чтобы при обмене файлами только владелец и получатель могли просматривать этот файл и изменять его. Другие не имели возможности доступа к файлу в папке. Может есть другие способы (не очень сложные т.к. пользователи с компьютероами не дружат) обеспечить это?
saf9288, у вас в правах на каждой папке должны присутствовать два пользователя: тот, кто пишет туда файл, и владелец папки - так и назначайте права...
Может есть другие способы (не очень сложные т.к. пользователи с компьютерами не дружат) обеспечить это?
а причем тут пользователи? у вас есть домен, и требуемые вам настройки делаются централизованно уполномоченными людьми (например, администраторами домена) с помощью GPO, скриптов и т.д.
В дополнение к вопросу. Предположим Есть пользователи 1, 2, 3, 4, 5. И есть соответствующие папки для каждого пользователя на сервере. Любой из пользователей должен иметь возможность класть документ в любую папку. Но. Только пользователь для которого предназначена определенная папка может открыть этот файл, изменить его и т.д. Назначил права на каждую папку. Например, для пользователя 1 создал папку 1 и во вкладке безопасность задал полный доступ для пользователя 1, других пользователей удалил. но тогда другие пользователи не смогут бросать файлы в папку 1 т.к. у них нет соответствующих прав. Вопрос, как назначить эти права пользователям 2, 3, 4, 5, чтобы они могли копировать файлы в папку 1, но не могли эти файлы открывать, просматривать и т.д.
сможет в этом случае владелец изменять файлы в своей папке?
другие пользователи кроме баба нюра и владельца смогут иметь доступ на просмотр содержимого файла?
saf9288,
ВСЕ, хотя лучше сделать пользователи домена, могут смотреть список файлов и каталогов личных папок и добавлять туда файлы и папки.
ВЛАДЕЛЕЦ ЛИЧНОЙ ПАПКИ полный доступк ко всему содержимому
ПОЛЬЗОВАТЕЛЬ добавивший файл или папку имеет к ним полный доступ
ОСТАЛЬНЫЕ могут только видеть список файлов и каталогов, не удалять, не просматривать не могут.
Можно еще добавить админам полный доступ...
Александр, Загвоздка в том, что владелец папки также входит в группу все. Поэтому запрет для всех автоматически распространяется и на владельца папки. При изменении прав доступа для группы все, это автоматически распространяется и на владельца. Или я чего то не понял.
saf9288,
На скриншотах видны все необходимые права, там нет запретов, только разрешения. При отсутствии разрешения - у пользователя не будет доступа. Предложенная мной схема проверена на тестовой виртуальной сети и правильно отрабатывает.
Простой
