@Korhoff

Как ограничить доступ пользователей к чужим файлам и папкам в домене?

Всем доброго времени суток)
Встал на работе очень важный вопрос...
Опишу суть:
Есть локальная сеть, есть домен. Допустим в этом домене есть компьютер, на котором работает несколько пользователей, которые заходят под доменными учетками. Один сохранил созданный им файл на диск D, после чего другой человек, зашедший на этот комп после него, залез на диск D и все ему удалил. Или всю папку с документами. Есть ли возможность выставить такие права пользователей, чтобы контроллер домена запрещал пользователям удалять созданные не ими файлы и папки. Я знаю как это сделать локально, но бегать к каждому компьютеру с моей точки зрения неправильно, политика должна назначаться централизовано. Файловый сервер сделать нельзя. Есть ли вообще возможность это настроить?
Буду безумно благодарен за помощь!
  • Вопрос задан
  • 3925 просмотров
Пригласить эксперта
Ответы на вопрос 6
@nApoBo3
Для всех папок никак, только для определенных.
Лучший вариант, сохранять файлы в свой профиль, к нем доступ имеет только сам пользователь и администратор ( ну и ещё все кто забутился с внешних носителей )
Ответ написан
@sanglyb
Можно через групповые политики менять разрешения на папки и файлы - https://www.lepide.com/how-to/assign-permissions-t...

Там можно что то подобное задать:
5f7f67a8a40b7862959088.png
5f7f67b54066e187897136.png
Т.е. отключаем наследование, пользователям оставляем разрешение только на чтение и изменение и применяем только на эту папку. Убираем прошедших проверку. А создателю-владельцу даём полный доступ на подпаки и файлы в подпапках.

Т.е. на диске Д должна быть создана папка, к которой будет применяться политика с правами как на скринах. Получится, что пользователи смогут в этой папке создавать свои папки, доступ к которым будет только у того, кто создал папку. Удалять чужие папки пользователи не смогут, как и содержимое, т.к. не смогут входить в папки, которые были созданы не ими.

Но имхо, так лучше не делать, т.к. подобные топорные решения создают бардак, безобразие и конечном счете, рано или поздно станут кошмаром администриторов. Лучше уж, из старого компутатора хоть какой-нибудь файловый сервер сделать (главное бэкапить почаще)
Ответ написан
Комментировать
dimonchik2013
@dimonchik2013
non progredi est regredi
контроль учетных записей и повыкидывать юзеров из локальных админов на компах где творят такое
Ответ написан
CityCat4
@CityCat4
Внимание! Изменился адрес почты!
В локальной сети с доменом файлы должны храниться централизованно. Это одна из аксиом, которые обычно не обсуждают - делают и все. Централизованно можно скрипт собственный написать, который будет делать то, что Вам нужно.
И разумеется, у юзеров не должно быть прав локальных аминов.
Ответ написан
@ComodoHacker
Разрешить пользователям создавать свои файлы только в своих профилях. Туда другим пользователям доступ запрещен.
Ответ написан
@fpir
Без проблем, Создаёте на диске д папки с именами пользователей. Пользователям говорите - кто создаст файл не в своей папке - ССЗБ. Настраиваете права на папки для пользователей, например для всех пользователей домена чтение, для владельца полный доступ. Меняете владельца папки с себя(вы создавали) на пользователя. Или задаёте полный доступ тому, чья папка, остальным чтение, оставляете владельцем себя. В этом есть смысл-человек уволится - вам проще будет удалить.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы