Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)
-   -   Неверно открывается общий доступ к папке, прошу объяснения (http://forum.oszone.net/showthread.php?t=269362)

zionkv 05-10-2013 15:51 2229032
Неверно открывается общий доступ к папке, прошу объяснения
 
Windows Server 2008R2 RU, устанавливаем. Открываем общий доступ к файлам и включаем обнаружение. Роль ФС не включаем. Создаем группы Менеджер, директор. Создаем пользователей Man1,2,3, Dir1, Adm1. Добавляем соответственно пользователей в группы. Создаем директорию в корне с именем All, в ней соответственно директории managers,directors. Структура готова, приступаем к раздаче прав.

-All
|-managers
|-directors
|-trash

К All даем общий доступ, в разрешениях ставим Все = RW
Открываем "Безопасность" и для All пишем:
SYSTEM = RW
Directors = RW
Admins = RW

Добавляем запрет в All, чтобы директор не мог нарушить главную структуру:
Цель: эта папка, ее подпапки и файлы; Группа: Directors; Тип: Запрет; Действие: Удаление; Дополнительно: Только на этот контейнер и его подконтейнеры
Добавляем возможность для всех редактировать trash:
Цель: подпапки и файлы; Группа: Все; Тип: Разрешение; Действие: Полный доступ

И т.д., для директоров и менеджеров. Почему не работает? Почему менеджер может удалить директорию managers, а любой может удалить trash?

Хотелось бы некоторых объяснений "от себя" (хотя в прошлом году мне удавалось сделать подобное удачнее) и инструкций.

exo 05-10-2013 16:23 2229056
может стоит лучше дать права Read Only на все ресурсы, а там где нужно полные - просто добавить?

zionkv 05-10-2013 16:31 2229064
Цитата:
Цитата exo
может стоит лучше дать права Read Only на все ресурсы, а там где нужно полные - просто добавить? »
Сначала работают правила SAMBA, потом правила NTFS, потому в самбе ставил ALL=RW, а NTFS уже разруливаем. Если Самбе не дать полные права, в NTFS вообще никто записывать не сможет, кроме админов.

UPD. Так у меня ведь так и обстоит дело? В директорию managers я вручную добавляю группу Managers с правами записи на "Ее подпапки и файлы". Наследует она только админа и директора.

exo 05-10-2013 16:51 2229070
Цитата:
Цитата zionkv
Сначала работают правила SAMBA »
у винды не SAMBA, а SMB.
Цитата:
Цитата zionkv
Если Самбе не дать полные права, в NTFS вообще никто записывать не сможет, кроме админов. »
я и говорил про NTFS.
Дайте общие права (SMB):
админы - полные
все - изменение
Дайте NTFS права:
админы - полные на все папки и файлы
директор - чтение только на папку All и подпапки
менеджер - чтение только на папку All

далее для каждой папки:
директор - полные права на подпапки и файлы (т.е. полные права на содержимое папки directors, но не на саму папку).

zionkv 05-10-2013 18:07 2229122
Цитата:
Цитата exo
менеджер - чтение только на папку All »
И еще это:
1) Менеджерам полные права на подпапки и файлы ниже managers
2) Менеджерам чтение только на папку managers

Иначе менеджер попадает в All, но не может зайти в man

Нет, т.о. Менеджеры не могут создавать ничего в своей папке. Значит им полные права на свою папку и ее детей, но запрет на удаление своей папки.

exo 05-10-2013 19:36 2229167
Цитата:
Цитата zionkv
удаление своей папки »
не забудьте настроить VSS, чтобы можно было восстановить удалённые по сети данные.


Время: 20:13.

Время: 20:13.
© OSzone.net 2001-