1

У меня проблема в том, что пользователи перемещают папки в древовидной структуре папок на общем диске. Обучение пользователей не улучшило проблему, поэтому я хочу использовать разрешения, чтобы ограничить, какие папки можно перемещать и куда. Я хочу оставить первые 2 уровня папок, но ограничить уровни 3 и 4 разрешением только на чтение и дать разрешения на изменение уровня 5 до бесконечности, не затрагивая все существующие папки.

\\server\share\[%year]\[%project name]\[%content folder]\content.doc

\\modify\modify\ read \ read \ modify \ modify

Я молюсь о том, чтобы кто-то мог показать мне, как устанавливать разрешения для папки на основе ее глубины в структуре папок (понимая, что, если будет введен другой слой родительской папки, это изменит права доступа детей на основе их нового уровня в дерево).

Это реалистичная концепция или я собираюсь потратить неделю на реструктуризацию разрешений по частям?

1 ответ1

0

Как установить разрешения для общего ресурса на основе структуры папок

У меня проблема в том, что пользователи перемещают папки в древовидной структуре папок на общем диске.

В прошлом я решал эту проблему в доменной среде Windows с ICACLS, используя приведенные ниже команды для блокировки папок, чтобы гарантировать, что они не могут быть перемещены (или удалены) учетной записью пользователя или учетными записями в группе безопасности, которая имеет MODIFY. доступ к папке (см. ниже пример синтаксиса командной строки ICACLS и т. д.).

Вы можете заменить SecurityGroupName именем пользователя, если это обеспечивает безопасность ресурса папки общей сетевой папки.

Пример командной строки ICACLS

ICACLS "\\Server\Share\Folder\<Folder Name To Lock Down>" /deny "SecurityGroupName":(DE)

Используемые опции

/ Отклонить пользователя: разрешение - явно запретить указанные права доступа пользователя. Это также удалит любое явное предоставление одинаковых разрешений одному и тому же пользователю.

(DE) - явно запрещать удаление разрешений только в папке верхнего уровня, что также предотвращает случайное перетаскивание. Атрибут архива на уровне файлов проверяется на всех файлах в папке, в которую вы вносите это изменение, так что это может повлиять на ваши задания резервного копирования на уровне файлов.


кто-то может показать мне, как установить разрешения для папки на основе ее глубины в структуре папок

Что касается вашей структуры, однако, предоставьте пользователям и группам безопасности доступ на чтение на верхнем уровне, а затем там, где им нужен доступ MODIFY, предоставьте это явно на этих уровнях подпапок. Я предполагаю, что вы знакомы с фактическими параметрами для установки этих разрешений на уровнях папок, где это необходимо, и просто нуждаетесь в совете о том, где устанавливать эти разрешения больше, чем что-либо еще.

Постарайтесь поддерживать как можно более высокий уровень безопасности на уровне папок, и если вам нужно явно установить разрешения на более чем 3 или 4 уровня (по крайней мере, в тех бизнес-типах, которые я поддерживаю), это МОЖЕТ означать плохой дизайн.

Обычно мы стараемся держать его только в двух слоях, таких как /department/subdepartment (например, /Finance/Accounts Payable , /Finance/Payroll и т.д.). Менеджеры или руководители будут получать MODIFY с верхнего уровня до самого низа, тогда подотделы будут получать доступ только к тем подотделам, к которым они принадлежат.

Что касается \\server\share части пути UNC, я обычно предоставляю доступ READ здесь на этих уровнях, и тогда группы, которым нужно больше, получат то, что им нужно на уровнях ~\department\~ или ~\department\subdepartment как Я перечислил в предыдущем абзаце. Суть в том, чтобы НЕ разрешать кому-либо доступ к отделу или к какой-либо папке, к которой у него нет доступа.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .