ให้การเข้าถึงไดเรกทอรีย่อยโดยไม่ให้สิทธิ์การเข้าถึงไดเรกทอรีหลัก

12

ฉันมีสถานการณ์ที่เกี่ยวข้องกับไฟล์เซิร์ฟเวอร์ Windows ที่ "เจ้าของ" ต้องการให้สิทธิ์แก่กลุ่มผู้ใช้ประเภทต่อไปนี้:

  • \\server\dir1\dir2\dir3: อ่านเขียนและดำเนินการ
  • \\server\dir1\dir2: ไม่มีสิทธิ์
  • \\server\dir1: ไม่มีสิทธิ์
  • \\server: อ่านและดำเนินการ

เพื่อความเข้าใจของฉัน ( ปรับปรุง : นี่วรรคทั้งหมดเป็นผิด!) มันเป็นไปไม่ได้ที่จะทำเช่นนี้เพราะRead & Executeได้รับอนุญาตจะต้องได้รับทุกไดเรกทอรีผู้ปกครองในห่วงโซ่ไดเรกทอรีในการสั่งซื้อสำหรับระบบปฏิบัติการที่จะสามารถ "เห็น" เด็ก ไดเรกทอรีและไปที่พวกเขา หากไม่มีสิทธิ์นี้คุณจะไม่สามารถรับโทเค็นบริบทความปลอดภัยเมื่อพยายามเข้าถึงไดเรกทอรีที่ซ้อนกันแม้ว่าคุณจะสามารถเข้าถึงไดเรกทอรีย่อยได้

เรากำลังมองหาวิธีการที่จะได้รับรอบนี้โดยไม่ต้องย้ายข้อมูลจากไป\\server\dir1\dir2\dir3\\server\dir4

หนึ่งวิธีแก้ปัญหาผมคิดว่า แต่ที่ผมไม่แน่ใจว่ามันจะทำงานคือการสร้างบางประเภทของการเชื่อมโยงหรือทางแยกซึ่งมีการอ้างอิงถึง\\server\dir4 \\server\dir1\dir2\dir3ฉันไม่แน่ใจว่าตัวเลือกใดที่พร้อมใช้งาน (ถ้ามี) จะทำงานเพื่อจุดประสงค์นี้หากผู้ใช้ไม่ได้Read & Executeรับอนุญาต\\server\dir1\dir2หรือ\\server\dir1แต่เท่าที่ฉันรู้ตัวเลือกคือ:

  • ลิงก์สัญลักษณ์ของ NTFS
  • สนธิ
  • ฮาร์ดลิงก์

ดังนั้นคำถาม:

  • มีวิธีใดที่เหมาะสมกับการบรรลุเป้าหมายของฉัน
  • มีวิธีอื่นในการเชื่อมโยงหรืออ้างอิงไดเรกทอรีโดยอ้อมซึ่งฉันไม่ได้ระบุไว้ข้างต้นซึ่งอาจเหมาะสมหรือไม่
  • จะมีผู้ใดโดยตรงการแก้ปัญหาที่ไม่เกี่ยวข้องกับการอนุญาตให้Read & Executeไป\\server\dir1หรือ\\server\dir2แต่ยังคงอนุญาตให้เข้าถึง\\server\dir1\dir2\dir3?
ntfs  windows-server-2003  symbolic-link  junction 
allquixotic
แหล่งที่มา
สิ่งนี้เป็นไปได้ ผู้ใช้จะเห็นไดเรกทอรี แต่ถ้าไม่ได้รับอนุญาตให้อ่านไม่สามารถเห็นเนื้อหาของไดเรกทอรีเลยง่ายพอที่จะติดตั้ง
Ramhound
นั่นคือคำถามของฉันด้วย ขอบคุณสำหรับการเพิ่มการสนทนา และสำหรับการอัปเดตคำถามของคุณเพื่อสะท้อนทันทีว่าข้อสันนิษฐานของคุณนั้นผิด
tyron

คำตอบ:

15

คุณเข้าใจผิดในสมมติฐานเดิมของคุณซึ่งทำให้ส่วนที่เหลือของการสงสัยคำถามของคุณ

ได้รับอนุญาตขั้นต่ำที่ผู้ใช้จะต้องการในdir1และเป็นdir2 Traverse Directoryนี้ส่วนใหญ่มีแนวโน้มที่จะเป็นปัญหากับผู้ใช้ของคุณแม้ว่า - ดังนั้นผมจึงอยากจะแนะนำและTraverse Directory List Foldersพวกเขาจะสามารถนำทางผ่านไดเรกทอรีสองอันดับแรกและไปยังdir3ที่ที่พวกเขามีสิทธิ์มากกว่า แต่จะไม่เห็นแม้แต่ไฟล์ที่มีอยู่ในสองไดเรกทอรีอันดับแรก

สิทธิ์ชอบRead & ExecuteและModifyเป็นเพียงแค่การรวบรวมสิทธิ์ของแต่ละบุคคล นี่เป็นสิ่งแรกที่คุณเห็นเพราะเป็นสิ่งที่ใช้บ่อยที่สุด หากคุณต้องการได้รับแบบละเอียดมาก (เช่นสถานการณ์นี้) ให้คลิกAdvancedปุ่มและขุดลงในตัวเลือกที่ระบุไว้ที่นั่น

MDMarra
แหล่งที่มา
ข้อมูลที่ยอดเยี่ยม (2)! แต่มีบางสิ่งที่ฉันไม่ได้พูดถึง: "นี่น่าจะเป็นปัญหาสำหรับผู้ใช้ของคุณ" ทำไมมันจะมีปัญหา? การตั้งชื่อค่อนข้างตรงไปตรงมาในแง่ที่ว่า "ทราเวิร์ส" ดูเหมือนจะได้รับอนุญาตที่จำเป็นเท่านั้น ผู้ใช้คาดหวังว่าปัญหาประเภทใด
tyron
12

น่าประหลาดใจหากบุคคลนั้นมีเส้นทางแบบเต็มไปยังโฟลเดอร์ย่อยที่พวกเขามีสิทธิ์ R อย่างน้อยพวกเขาก็ไม่จำเป็นต้องมีสิทธิ์ใด ๆ ในโฟลเดอร์หลักใด ๆ พวกเขาสามารถเข้าถึงได้โดยใช้ UNC (แน่นอนว่าพวกเขาจะต้องมีสิทธิ์อ่านในการแชร์ แต่ไม่ได้อยู่ในโฟลเดอร์ใด ๆ ที่อยู่เหนือระดับที่พวกเขาต้องการเข้าถึง)

ฉันไม่เชื่อเรื่องนี้เมื่อฉันถูกบอก แต่การทดสอบพิสูจน์มันออกมา

นี่เป็นสิ่งที่ตรงกันข้ามกับสิ่งที่ฉันคิดว่าฉันรู้เกี่ยวกับการอนุญาตในโลกของ Windows และฉันสงสัยว่าหลายคนจะประหลาดใจ

\ เซิร์ฟเวอร์ \ folder1 \ folder2 \ folder3

หากไม่มีสิทธิ์สำหรับ Bilbo เลยใน folder1 และบน folder2 แต่ Bilbo มีการแก้ไข (ตัวอย่าง) ใน folder3, \ server \ folder1 \ folder2 \ folder3 จะพาเขาไปที่นั่นโดยไม่มีปัญหา

embeetee
แหล่งที่มา
ใช้งานfolder1ได้เมื่อมีการแชร์สิทธิ์และตั้งค่าการอนุญาต NTFS ไว้folder3ดังนั้นสิ่งนี้\\server\c$\folder1\folder2\folder3จะไม่ทำงาน
2304170
1
หากต้องการเพิ่มคำตอบนี้ "ความสามารถ" โดยนัยในการสำรวจโฟลเดอร์หลักไปยังโฟลเดอร์ย่อย แต่ลึกซึ่งคุณได้รับสิทธิ์จากผู้ใช้ที่เรียกว่า "การตรวจสอบการข้ามผ่าน" ในนโยบายกลุ่มโดยค่าเริ่มต้นสำหรับผู้ใช้ส่วนใหญ่ / ทั้งหมด ในกรณีส่วนใหญ่. ดูitprotoday.com/management-mobility/…เนื่องจากฉันไม่สามารถวางได้มากพอที่นี่เพื่อบันทึกรายการสิ่งที่ได้รับอนุญาตในสถานการณ์ใด
โกง
บายพาสการตรวจสอบแบบทราเวิร์สแบบขวายังเป็นการเพิ่มประสิทธิภาพของระบบไฟล์ NTFS เพื่ออนุญาตให้ข้ามการตรวจสอบการอนุญาตของแต่ละโฟลเดอร์ในทรีระหว่างทางเพื่อเปิดโฟลเดอร์ / ไฟล์ที่ต้องการขั้นสุดท้ายดังนั้นจึงไม่แนะนำให้เอาออกเว้นแต่ว่าคุณต้องการ ความปลอดภัยระดับสูงมาก
โกง
1

โซลูชันเดียวที่คล้ายกับ MDMarra ถูกตั้งค่าสิทธิ์ NTFS ดังนี้

  1. dir1 : เนื้อหาของโฟลเดอร์รายการอนุญาต(ข้ามโฟลเดอร์ / เรียกใช้ไฟล์, แสดงรายการโฟลเดอร์ / อ่านข้อมูล, อ่านคุณสมบัติ, อ่านคุณสมบัติเพิ่มเติม, อ่านสิทธิ์)
  2. แต่เลือกโฟลเดอร์นี้สำหรับนำไปใช้กับแบบเลื่อนลง
  3. dir2 : เนื้อหาโฟลเดอร์รายการอนุญาตและนำไปใช้กับโฟลเดอร์นี้เท่านั้น
  4. dir3 : ให้สิทธิ์การอ่าน / เขียนที่ต้องการและนำไปใช้กับโฟลเดอร์นี้โฟลเดอร์ย่อยและไฟล์หรือโฟลเดอร์ย่อยและไฟล์เท่านั้น

ผลลัพธ์ที่ได้คือผู้ใช้ / กลุ่มสามารถอ่านโฟลเดอร์หลักแต่ละโฟลเดอร์และเจาะลึกลงในโฟลเดอร์ย่อยโดยไม่ต้องใช้โฟลเดอร์หรือไฟล์อื่น

DrewsWiz
แหล่งที่มา
นั่นไม่คล้ายกับคำตอบของ MDMarra นั่นคือคำตอบของ MDMarra โดยละเอียดมากขึ้น
สกอตต์
0

ดังนั้นฉันจึงทำการทดสอบในสภาพแวดล้อมต่อไปนี้ตามที่ฉันต้องการเพื่อให้ได้คำตอบสุดท้ายที่ผ่านการทดสอบโดยได้รับอนุญาตขั้นต่ำที่จำเป็นสำหรับการสำรวจโฟลเดอร์ผ่านการเรียกดู (เช่นผ่าน Windows File Explorer) นี่คือผลลัพธ์สำหรับผู้ที่ต้องการล็อคสิ่งต่าง ๆ ให้แน่น

ฉันยังไม่ได้ทดสอบสิ่งนี้ในการผลิตเพื่อดูว่ามีผลข้างเคียงใด ๆ ที่แปลกประหลาดจากการตัดเท็มเพลตสิทธิการผ่านการทดสอบที่ดี "มาตรฐาน" ของ

  • ทราเวิร์สโฟลเดอร์
  • รายการโฟลเดอร์
  • อ่านคุณสมบัติ
  • อ่านต่อ คุณลักษณะ
  • อ่านสิทธิ์

... ซึ่งโดยทั่วไปเป็นเพียงสิทธิ์ "อ่านและดำเนินการ" ที่ จำกัด เฉพาะ "โฟลเดอร์นี้" ที่กล่าวว่าการทดสอบขนาดเล็กได้รับการปรับอย่างสมบูรณ์จนถึงขณะนี้สำหรับผู้ใช้เพียงแค่ย้ายคัดลอกและลบไฟล์บนเซิร์ฟเวอร์และผู้ใช้ทำงานอย่างสมบูรณ์สำเนาสำเนาของเซิร์ฟเวอร์ของเซิร์ฟเวอร์ ฯลฯ

สิ่งแวดล้อม:

  • เซิร์ฟเวอร์ : Windows 2008 R2 - นโยบายกลุ่มเล็ก ๆ น้อย ๆ ไม่มีการเปลี่ยนแปลงใด ๆ เกี่ยวกับสิทธิ์ผู้ใช้กำหนดค่าเป็นตัวควบคุมโดเมน DNS แบบรวมโฆษณาการตั้งค่ามาตรฐาน / ขั้นพื้นฐานขั้นสูง
  • ไคลเอ็นต์ : Windows 7 SP1 - ล้างการติดตั้งใน VM รีสตาร์ทระหว่างการเปลี่ยนแปลงใด ๆ เพื่อให้แน่ใจว่าการเชื่อมต่อกับเซิร์ฟเวอร์นั้นถูกสร้างขึ้นใหม่ทุกครั้ง
  • การติดตั้งทั้งสองแบบได้รับการแก้ไขอย่างน้อยปลายปี 2017 ดังนั้นอาจเป็นปัจจุบันสำหรับสิ่งใด ๆ ที่เกี่ยวข้องกับการอนุญาตที่ได้รับความนิยมอย่างมาก ณ จุดนี้ในไทม์ไลน์ของ Windows
  • นี่เป็นการเข้าถึงโฟลเดอร์ที่แชร์ซึ่งเชื่อมต่อกับไดรฟ์เครือข่ายแบบถาวร (\ server \ share -> S :) ใน VM สิทธิ์การแชร์คืออ่าน + เปลี่ยนสำหรับกลุ่มผู้ใช้ที่ผ่านการรับรองความถูกต้องซึ่งครอบคลุมผู้ใช้ทดสอบและคนอื่น ๆ ทั้งหมดที่มีแนวโน้มว่าจะต้องเข้าถึงในบางจุด
  • หลังจากการเปลี่ยนแปลงแต่ละครั้งฉันจะรีสตาร์ท VM เปิด File Explorer และเพียงแค่เรียกดูการแชร์ตามปกติไปตามเส้นทางที่ฉันรู้ว่าผู้ใช้ทดสอบมีสิทธิ์การสำรวจเส้นทางเหล่านี้เทียบกับที่มันไม่ได้ทำ

ผล:

  • จำเป็นสำหรับโฟลเดอร์รูท : ListFolder-ReadData + ReadAttributes (สิทธิ์ 2x)
  • จำเป็นสำหรับโฟลเดอร์ย่อย : ListFolder-ReadData (สิทธิ์ 1x)

  • ทางเลือก : TraverseFolder - ExecuteFile

    -> การอนุญาตที่เป็นทางเลือกนี้จะเกิดขึ้นก็ต่อเมื่อการบายพาสการตรวจสอบสิทธิ์การใช้งานแบบข้ามถูกยกเลิกอย่างชัดเจนเนื่องจากเป็นการเปิดใช้งานตามค่าเริ่มต้นใน 99% ของสถานการณ์ สิ่งที่แตกต่างกันคือสิทธิ์ผู้ใช้ "การตรวจสอบการเลี่ยงผ่านการตรวจสอบ" (เปิดเผยในนโยบายกลุ่มไม่ใช่สิทธิ์ของไฟล์ / โฟลเดอร์ NTFS) ที่เปิดใช้งานจะปิดกั้นสิทธิ์นี้โดยสมบูรณ์และมีประสิทธิภาพ หมายเหตุ: ฉันยังไม่ได้ทดสอบเพื่อดูว่าการปฏิเสธสิทธิ์นี้ชัดเจนหรือไม่ให้หยุดการตรวจสอบผู้ใช้บายพาสทราเวิร์สเพื่อไม่ให้มีผลในอินสแตนซ์นั้น แต่อาจ)

ข้อมูลเพิ่มเติม: สิทธิ์ของผู้ใช้ "การตรวจสอบการเลี่ยงผ่านการตรวจสอบ" ช่วยให้ผู้ใช้สามารถข้ามไปยังโฟลเดอร์ย่อยแบบพาสซีฟได้หลายระดับลึกกว่าที่พวกเขาสามารถเข้าถึงได้โดยตรง (เช่นการตั้งค่าการอนุญาตบนไฟล์ / โฟลเดอร์นั้น เส้นทางไฟล์)

โกง
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.