Как «правильно» настроить общий доступ к подпапке?

Question

[supablex]

Добрый день!
Вопрос новичка, тем не менее столкнулся с ним и не знаю как поступить "правильно", как принято в лучших практиках.
Цель: дать доступ сотруднику в общую папку на файловом сервере, путь выглядит примерно так: F:\RootFolder\subfolder1\subfolder2\subfolder3.
Моё решение: Ему нужен доступ только в subfolder3, папки выше не интересуют (либо там есть данные, которые ему видеть не следует) и я создал группу безопасности, которую применил только на subfolder3 и включил в неё пользователя, доступ в подпапку по прямой ссылке заработал, всё ок.
Но сотруднику было бы удобнее открыть общий диск F (он просто у всех подключён), увидеть там RootFolder, зайти в неё, затем в subfolder1, subfolder2 и затем в subfolder3, вместо того, чтобы сохранять себе где-то прямую ссылку на подпапку subfolder3, она и потеряться может при замене компьютера. Но в таком случае ему нужно давать доступ на чтение всего корневого каталога, я верно понимаю? Раньше у меня так выходило, что просили дать доступ либо в корневую папку сразу, либо в неё уже был доступ и требовалось пустить пользователя "глубже" по дереву папок.
Как вы обычно делаете или как принято лучшими практиками поступать в таком случае?

п.с.: в моей ситуации сотрудник, которому нужен доступ, не работает в том департаменте, где находится папка, поэтому доступ к subfolder1 не должен быть выдан, но он проводит некоторые мероприятия и для этого ему нужно как-то получать большое количество файлов, которая хранятся в subfolder3.

Answer 1

[Роман Безруков]

я создал группу безопасности, которую применил только на subfolder3

ну вот для этой группы через GPP раздаете папку как диск...а что там сотруднику удобнее - это второстепенно

Comments

[supablex]

Спасибо, но gpp в нашем случае не подойдёт, т.к. домен не один и я не рулю тем, в котором ноут пользователя.
да и не станешь же каждую папку цеплять ему отдельным диском (папок можно быть в будущем несколько), доступ нужен временный как я понял.
Если можно настроить так, чтобы доступ работал как описал mvv-rus, то это отличный вариант. осталось разобраться, в чём у меня ошибка, из-за которой это не работает)

[Роман Безруков]

supablex, MVV описал отличный вариант доступа. В DFS это тоже все настраивается - только надо делать на всех узлах DFS

Answer 2

[MVV]

Но в таком случае ему нужно давать доступ на чтение всего корневого каталога, я верно понимаю?

Неверно. Есть специальное разрешение для таких случаев - "Чтение содержимого папки". Дайте этому сотруднику (или, лучше, группе, в которой он состоит, можно такую сделать специально для него) это разрешение на все папки по пути от той, к которой дан общий доступ, до нужной ему. А если еще для общей папки включено перечисление на основе доступа (оно в Windows есть уже лет пятнадцать), то он ещё и ничего лишнего не должен увидеть.

Comments

[supablex]

Спасибо за совет! попробовал применить ваш вариант, но почему-то не сработало. у нас вся шара работает через DFS ссылки, возможно в этом затык. эта задача теперь не самая срочная, отпишусь по результату

Answer 3

[pindschik]

Представьте, здание. Внизу турникет с охраной, доступ по паспорту, на нужном этаже - доступ по карте, и в нужном кабинете - выдан ключ от двери.
Вы даете человеку ключ от двери, но не организуете доступ через охрану и не даете карту доступа на этаж.

Остается два варианта: или доступ по всему маршруту, или лестница прямо с улицы в окно.

Реализуйте права доступа в RootFolder и далее так - чтоб пользователь ни на каком этапе не попадал в лишние папки, кроме единственно разрешенного пути.
При этом не забывайте, что есть, в том числе и такие инструменты:
- Доступ ТОЛЬКО в папку без файлов и подпапок.
- Запреты имеют приоритет выше, чем разрешения.

в моей ситуации сотрудник, которому нужен доступ, не работает в том департаменте, где находится папка,

- не является проблемой. Это только говорит о том, что структура папок доступа сформирована неграмотно и подлежит переделке.

Comments

[supablex]

Ваша аналогия не совсем корректна, потому что в ИТ пользователю можно дать телепорт (ссылка), который ему нужно просто вытащить из кармана и попасть прямиком в нужную квартиру (папку) и это вполне годный вариант. Но коль скоро все привыкли ходить по лестнице или пользоваться лифтом, то многим пользователям привычнее по старинке зайти в подъезд, пойти в нужное крыло, далее на нужный этаж и в нужную квартиру (АКА вручную докликать до нужной папки).
Мне понравился вариант, предложенный mvv-rus, осталось найти время покопаться почему у меня не получилось его применить.
Спасибо и за ваш совет, буду разбираться с правами. Вполне возможно, что есть запрет, который я не вижу и он приоритетнее настроенного разрешения.
Структура папок организована верно, просто этот случай исключительный. Этот пользователь, условно, как надзорный орган (бабка на лавке), которому нужно глянуть а не происходит ли в квартире чего нехорошего)) и я хочу научиться правильно организовывать доступ, а не абы как, лишь бы работало, чтобы бабуля не шастала по всем квартирам)