Как дать доступ пользователю только к одной папке и ее содержимому в сетевой шаре?

Question

[Novichok Admin]

Есть DFS сервер на WinServ_2016
Есть расшаренный диск, в нем папки с департаментами с разрешениями групп доступа в AD, как дать доменному пользователю доступ к конкретной папке в чужом департаменте, чтобы он не видел остального содержимого?

Например: S:\Департамент_1\папка_А\папка_B\папка_C\папка_D
Необходимо, чтобы пользователь имел доступ только к папке_D и её содержимому.
Как сделал я: добавил нужного пользователя группу безопасности папки_D и он получил доступ к ней, но только если в проводнике вписать полный путь до неё.
А мне необходимо, чтобы он попадал туда из диска S, папки_А и т.д. и при этом не видел содержимое попутных папок.
Прошу прощения за некорректное объяснение, надеюсь, поймете)

Как выполнить эту задачу?
Если есть инфа для изучения работы папок и сетевых дисков, просьба поделиться.
Благодарю!

Answer 1

[Alexey Dmitriev]

Минимальные траверсные права (не помню навскидку-скорее всего Traverse Folder/Execute File) на каждую папку (скоп this folder only) плюс включенный на шаре Access-Based Enumeration.
Максимум что он сможет видеть-это названия файлов в промежуточных папках.

Comments

[Максим Гришин]

Название файлов видеть тоже не будет - на это нужно иметь list folder/read file, который для прохождения по пути не нужен от слова совсем. Мы так выдавали права в далеком 2004м, концепция с тех пор не менялась.

Answer 2

[Yan]

Через симлинк не вариант?

Answer 3

[Akina]

мне необходимо чтобы он попадал туда из диска S, папки_А и т.д. и при этом не видел содержимое попутных папок.

В рамках идеологии назначения прав в NTFS приемлемого решения Вы не найдёте. Чтобы "увидеть" подпапку в папке, но при этом не "видеть" файлы этой папки, Вам необходимо, чтобы и на папку, и на подпапку были прямо назначены права, причём в случае папки - применяемые только к этой папке. Что говорит о том, что Вам придётся использовать прямое назначение прав на папки Департамент_1, папка_А, папка_B и папка_C. Подобный подход - прямой путь к горе прямых назначений и итоговому бардаку.

Навскидку вижу два решения.

Первое - создание отдельного DFS-узла, выводящего непосредственно в целевую папку. Как по мне - самое логичное решение. Право на узел даётся группе, пользователь включается в группу - и всё. Если кому-то ещё понадобится дать право - его тоже в эту группу. Папка при этом будет корнем, и "подняться" из неё некуда.

Второе - вывод пользователя непосредственно в эту папку средствами файловой системы. Ярлык, симлинк... Чем плохо - тем, что при этом у пользователя отображается полный путь папки, и он может попытаться "подняться выше", с весьма логичным сообщением об ошибке доступа.

Answer 4

[Дмитрий]

Можно ссылку разместить где то в каталогах доступных пользователю. Но лучше не допускать появления прав для конкретных пользователей к конкретным файлам - потом такая лапша из прав доступа получается, со временем.