NnovichokAdmin
@NnovichokAdmin
Хочу все Знать

Как дать доступ пользователю только к одной папке и ее содержимому в сетевой шаре?

Есть DFS сервер на WinServ_2016
Есть расшаренный диск, в нем папки с департаментами с разрешениями групп доступа в AD, как дать доменному пользователю доступ к конкретной папке в чужом департаменте, чтобы он не видел остального содержимого?

Например: S:\Департамент_1\папка_А\папка_B\папка_C\папка_D
Необходимо, чтобы пользователь имел доступ только к папке_D и её содержимому.
Как сделал я: добавил нужного пользователя группу безопасности папки_D и он получил доступ к ней, но только если в проводнике вписать полный путь до неё.
А мне необходимо, чтобы он попадал туда из диска S, папки_А и т.д. и при этом не видел содержимое попутных папок.
Прошу прощения за некорректное объяснение, надеюсь, поймете)

Как выполнить эту задачу?
Если есть инфа для изучения работы папок и сетевых дисков, просьба поделиться.
Благодарю!
  • Вопрос задан
  • 225 просмотров
Пригласить эксперта
Ответы на вопрос 4
SignFinder
@SignFinder
Wintel\Unix Engineer
Минимальные траверсные права (не помню навскидку-скорее всего Traverse Folder/Execute File) на каждую папку (скоп this folder only) плюс включенный на шаре Access-Based Enumeration.
Максимум что он сможет видеть-это названия файлов в промежуточных папках.
Ответ написан
Slayer_nn
@Slayer_nn
Почему так трудно зайти в гугол?
Через симлинк не вариант?
Ответ написан
@Akina
Сетевой и системный админ, SQL-программист.
мне необходимо чтобы он попадал туда из диска S, папки_А и т.д. и при этом не видел содержимое попутных папок.

В рамках идеологии назначения прав в NTFS приемлемого решения Вы не найдёте. Чтобы "увидеть" подпапку в папке, но при этом не "видеть" файлы этой папки, Вам необходимо, чтобы и на папку, и на подпапку были прямо назначены права, причём в случае папки - применяемые только к этой папке. Что говорит о том, что Вам придётся использовать прямое назначение прав на папки Департамент_1, папка_А, папка_B и папка_C. Подобный подход - прямой путь к горе прямых назначений и итоговому бардаку.

Навскидку вижу два решения.

Первое - создание отдельного DFS-узла, выводящего непосредственно в целевую папку. Как по мне - самое логичное решение. Право на узел даётся группе, пользователь включается в группу - и всё. Если кому-то ещё понадобится дать право - его тоже в эту группу. Папка при этом будет корнем, и "подняться" из неё некуда.

Второе - вывод пользователя непосредственно в эту папку средствами файловой системы. Ярлык, симлинк... Чем плохо - тем, что при этом у пользователя отображается полный путь папки, и он может попытаться "подняться выше", с весьма логичным сообщением об ошибке доступа.
Ответ написан
@Tabletko
Системный администратор
Можно ссылку разместить где то в каталогах доступных пользователю. Но лучше не допускать появления прав для конкретных пользователей к конкретным файлам - потом такая лапша из прав доступа получается, со временем.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы