Описание прав групп безопасности?

Question

[Mr. Anderson]

Доброго времени суток.

Развернули новый сервак и туда залили огромную шару состоящую из 25 папок и вложенных очень очень много.
Необходимо разграничивать права и делать группы безопасности. Подскажите пожалуйста вкратце как по уму организовать, а еще лучше ткните пальцем на статьи в интернет (видимо не совсем понятно запрос пишу и путнего ничего найти не могу).

Структура примерно такая:

• Сам корень папки
  
• 1.
  
• 2.
  
• 3.
  
• 4.
  
• 5.
  
• 6.
  
• 7.
  

Понятно, что в корень папки только RO на эту папку без вложенных папок. Но например в корне этой папки есть файл, который должна редактировать кадровичка. Как все это организовать? Прошу помощи знающих людей.

Answer 1

[Alexey Dmitriev]

Да на корневую папку можно дать Read and Execute для Authenticated Users.
Права на шару - Full Control для Authenticated Users.
Создаете три типа групп на каждую папку с определенным подходом к их наименованию (префикс суффикс и имя папки в середине например):
1. List and traverse ("Traverse folder/execute file и List folder/read data") к "This folder only". (чтобы можно было "провалиться" в папку)
2. read and execute к This folder, subfolder and files" (доступ для чтения)
3. Modify к This folder, subfolder and files" (доступ на редактирование).
1 группа должна быть членом 1 группы родительской папки, 2 и 3 группа с правами на папке - должна быть членом 1 группы родительской папки (чтобы по структуре папок можно было спускаться вниз до групп с правами на доступ).

И 4 типы групп - для конфиденциальных папок (когда отключается наследование прав с родительской папки))

И потом просто добавляете аккаунты в нужные вам группы и уведомляете что доступ появится максимум через 10 часов (время жизни TGT по умолчанию)

Comments

[Mr. Anderson]

т.е. как я понял я делаю
_Share - чтение только к этой папке (чтоб провалиться внутрь и посмотреть содержимое)
_Share_RW- чтение и запись на папки, подпапки и файлы
_Share_1_RO - чтение на первую папку
_Share_1_RW - чтение и запись на первую папку и так далее

Про остальное что-то не понял

[Alexey Dmitriev]

Роман Тонкошкуров,
Папка 1, которой открыт доступ (папка нулевого уровня):
1. Shared permissions - Full Control для Authenticated Users
2. NTFS permissions - readonly для Authenticated Users.

Вложенная в папку 1 папки 2 (1 уровень) - у нее в ACL 3 группы:
1. Group_folder_2_LT с правами ("Traverse folder/execute file и List folder/read data") к "This folder only". (чтобы можно было "провалиться" в папку)
2. Group_folder_2_RO с правами read and execute к This folder, subfolder and files" (доступ для чтения)
3. Group_folder_2_RW с правами Modify к This folder, subfolder and files" (доступ на редактирование).

Вложенная в папку 2 папка 3 (2 уровень) - у нее в ACL 3 группы:
1. Group_folder_3_LT с правами ("Traverse folder/execute file и List folder/read data") к "This folder only". (чтобы можно было "провалиться" в папку)
2. Group_folder_3_RO с правами read and execute к This folder, subfolder and files" (доступ для чтения)
3. Group_folder_3_RW с правами Modify к This folder, subfolder and files" (доступ на редактирование).

Все три группы являются членами группы Group_folder_2_LT.

Вложенная в папку 3 папка 4 (3 уровень) - у нее в ACL 3 группы:
1. Group_folder_4_LT с правами ("Traverse folder/execute file и List folder/read data") к "This folder only". (чтобы можно было "провалиться" в папку)
2. Group_folder_4_RO с правами read and execute к This folder, subfolder and files" (доступ для чтения)
3. Group_folder_4_RW с правами Modify к This folder, subfolder and files" (доступ на редактирование).

Все три группы являются членами группы Group_folder_3_LT.
И так далее.

[Mr. Anderson]

Alexey Dmitriev, Большое спасибо. Буду ковырять в выходные

Answer 2

[Дмитрий]

Структурное дерево каталогов должно быть в RO. В корне только структурные каталоги. На них и навешиваем права через группы.

Comments

[Mr. Anderson]

Это я понял. Создаю группы на каждую папку и на каждую папку по 2 группы RO и RW. У меня вопрос какие галки тут для RO, для RW понятно что все.

клац

[Денис]

Роман Тонкошкуров, Это вы глубоко забрались. Там сразу на вкладке "Безопасность" все проще можно сделать. Но если идти вашим путем, то для чтения ставите галки "Разрешить" на 2-5 чекбоксы сверху + "Чтение разрешений", а для записи на 2-9 чекбоксы + "Чтение разрешений" + "Удаление".

Answer 3

[noZero]

Вообще руками это всё очень долго. Почитайте GPO, и их применение на файловые сервера.
Во-первых пригодится в будующем.
Во-вторых автоматизируете процессы.

Comments

[Mr. Anderson]

От GPO мы отрезаны и админить GPO нам не дают. Сказали только с шарами своими самим разбираться и дали доступ в AD на создание групп и все.