О правах доступа NTFS win2k3- Сети и их администрирование

Гость

0 - 24.06.2012 - 23:06

Разъясните пожалуйста про права доступа, я совсем ничего не понимаю в таком поведении.
1. Добавляю нового пользователя, присваиваю ему группу Пользователи, он имеет доступ ко всем папкам, на которых явно не запрещен доступ либо этому пользователю, либо группе Пользователи, т.е. по умолчанию разрешен, если не указано обратное. Это нормально?
2. Создаю группу "Ограниченные пользователи", запрещаю ей доступ к моей папке. Добавляю в группу своего пользователя - он имеет доступ. Доступ пропадает если только запретить явно этому пользователю, либо запретить любой встроенной в систему группе (например Пользоваетли или Гости). Т.е. не работает моя созданная группа.

Что я делаю не так? Сервер локальный, не домен.

Гость

1 - 24.06.2012 - 23:36

По первому пункту догадываюсь, группа пользователи содержит в себе любого залогинившегося. Это ладно. Почему второй не работает? Пользователь в группе, на группу явный запрет, запрет имеет приоритет над разрешением, но доступ есть!

Гость

2 - 24.06.2012 - 23:47

если склероз не подводит, пользователю перелогиниться нужно

Гость

3 - 25.06.2012 - 01:28

1. Все залогинившиеся пользователи не входят автоматом в группу "Пользователи", а входят точно в "Прошедшие проверку" и/или "ИНТЕРАКТИВНЫЕ"
2. Возможно ваш пользователь учавствует в других группах, у которых есть другие разрешения на эту папку?

ЗЫ: Запрещать стоит по принципу - "запрещено все кроме". Хотя бы после тестов.

Гость

4 - 25.06.2012 - 07:26

Вот если зайти в группу пользователи, то видно что туда входят прошедшие проверку и интерактивные. Получается что изъять пользователя из этой группы невозможно (не коверкая саму группу). Ладно, с этим вопросов нет. Буду делать по-другому. А вот "запрещено все кроме" в винде не работает, т.к. запретив доступ всем, никто не будет иметь доступ, даже создатель и администратор, даже если им доступ явно разрешен, т.к. запрет приоритетен. Меня смущает лишь то, почему система не реагирует на запреты для созданной группы, хотя нормально отрабатывает запреты для встроенных групп.

Гость

5 - 25.06.2012 - 09:00

автор не в курсе о наследовании

Гость

6 - 25.06.2012 - 10:00

все работает как положено, создал группу restricted, добавил туда себя, добавил группу в acl каталога с правами запрета на все, пробую зайти - пускает, перелогинился в локальном сеансе - больше не пускает
чукча писатель
наследование как бантик на такси, оно едет что с ним, что без него

Гость

7 - 25.06.2012 - 14:56

Я пробовал через FTP, не фурычит чегось. Хоть 100500 раз перелогинивайся. Причем другие права подхватывает сразу, так что перелогиниваться не обязательно. Ладно, буду делать целиком на пользовательских группах, такое ощущение что "Пользователи" все портит, как только ее убираешь из ACL, все начинает работать предсказуемо.

Гость

8 - 25.06.2012 - 16:35

перезагрузите сервер
насколько я понял, вновь созданная группа по каким-то причинам не попадает в активный (текущий в памяти) список доступа, сетевой вход/выход ничего на даст, при локальном - acl перестраивается, так что нужно либо перелогинится локально, либо перезагрузить сервер

Гость

9 - 26.06.2012 - 07:13

Перезагрузка как оказалось тоже ни при чем. К тому же на разрешение вновь созданные группы работают нормально, права сетевого пользователя вступают в силу сразу же. Сделал путем удаления "Пользователи" из ACL и раздачей прав на внов созданные группы. Заработало как ожидается, кому не разрешено - не имеют доступ, кому разрешено - имеют. Запретительных записей нет.

Гость

10 - 26.06.2012 - 11:26

"пользователи" не удалял, запрет отрабатывает как положено, т.к. имеет высший приоритет
непонятное поведение, возможно мелкий саппорт вам сможет помочь

Гость

11 - 26.06.2012 - 11:33

Я пробовал через FTP
Так спич идет о правах доступа к папке на фтп сервере?

Гость

12 - 26.06.2012 - 13:25

Цитата:

Сообщение от droidman