О правах доступа NTFS win2k3
 

Разъясните пожалуйста про права доступа, я совсем ничего не понимаю в таком поведении.
1. Добавляю нового пользователя, присваиваю ему группу Пользователи, он имеет доступ ко всем папкам, на которых явно не запрещен доступ либо этому пользователю, либо группе Пользователи, т.е. по умолчанию разрешен, если не указано обратное. Это нормально?
2. Создаю группу "Ограниченные пользователи", запрещаю ей доступ к моей папке. Добавляю в группу своего пользователя - он имеет доступ. Доступ пропадает если только запретить явно этому пользователю, либо запретить любой встроенной в систему группе (например Пользоваетли или Гости). Т.е. не работает моя созданная группа.

Что я делаю не так? Сервер локальный, не домен.

По первому пункту догадываюсь, группа пользователи содержит в себе любого залогинившегося. Это ладно. Почему второй не работает? Пользователь в группе, на группу явный запрет, запрет имеет приоритет над разрешением, но доступ есть!

если склероз не подводит, пользователю перелогиниться нужно

1. Все залогинившиеся пользователи не входят автоматом в группу "Пользователи", а входят точно в "Прошедшие проверку" и/или "ИНТЕРАКТИВНЫЕ"
2. Возможно ваш пользователь учавствует в других группах, у которых есть другие разрешения на эту папку?

ЗЫ: Запрещать стоит по принципу - "запрещено все кроме". Хотя бы после тестов.

Вот если зайти в группу пользователи, то видно что туда входят прошедшие проверку и интерактивные. Получается что изъять пользователя из этой группы невозможно (не коверкая саму группу). Ладно, с этим вопросов нет. Буду делать по-другому. А вот "запрещено все кроме" в винде не работает, т.к. запретив доступ всем, никто не будет иметь доступ, даже создатель и администратор, даже если им доступ явно разрешен, т.к. запрет приоритетен. Меня смущает лишь то, почему система не реагирует на запреты для созданной группы, хотя нормально отрабатывает запреты для встроенных групп.

автор не в курсе о наследовании

все работает как положено, создал группу restricted, добавил туда себя, добавил группу в acl каталога с правами запрета на все, пробую зайти - пускает, перелогинился в локальном сеансе - больше не пускает
чукча писатель
наследование как бантик на такси, оно едет что с ним, что без него

Я пробовал через FTP, не фурычит чегось. Хоть 100500 раз перелогинивайся. Причем другие права подхватывает сразу, так что перелогиниваться не обязательно. Ладно, буду делать целиком на пользовательских группах, такое ощущение что "Пользователи" все портит, как только ее убираешь из ACL, все начинает работать предсказуемо.

перезагрузите сервер
насколько я понял, вновь созданная группа по каким-то причинам не попадает в активный (текущий в памяти) список доступа, сетевой вход/выход ничего на даст, при локальном - acl перестраивается, так что нужно либо перелогинится локально, либо перезагрузить сервер

Перезагрузка как оказалось тоже ни при чем. К тому же на разрешение вновь созданные группы работают нормально, права сетевого пользователя вступают в силу сразу же. Сделал путем удаления "Пользователи" из ACL и раздачей прав на внов созданные группы. Заработало как ожидается, кому не разрешено - не имеют доступ, кому разрешено - имеют. Запретительных записей нет.

"пользователи" не удалял, запрет отрабатывает как положено, т.к. имеет высший приоритет
непонятное поведение, возможно мелкий саппорт вам сможет помочь

[em]Я пробовал через FTP[/em]
Так спич идет о правах доступа к папке на фтп сервере?

[quote=droidman;25668340] ЗЫ: Запрещать стоит по принципу - "запрещено все кроме". Хотя бы после тестов. [/quote]
мс вообще не рекомендует запрещать, да оно как бы и не требуется, мне по крайней мере ни разу не потребовалось.

на запрет можно поставить аудит потом есичо)

особо любопытных вычислять? ))

13-droidman > аудит не лопнет? при регулярном построении дерева каталогов

15-gloomymen > сморя какой, если это самбовый аудит то справицо