Как правильно ограничить доступ группе пользователей одной папкой?

 

ttt

аксакал

Win 2008

Есть несистемный диск D:

Есть группа пользователей UUU (ее члены также входят в группу Пользователи)

Есть папка FFF

В настоящий момент все члены UUU читают и меняют все папки на D:

Как правильно ограничить доступ одной папкой FFF?

Открываем диск D: свойства, безопасность.

Устанавливаем группе UUU запрет доступа к всему диску включая вложенные

Потом идем к папке FFF и там этот запрет для Группы UUU снимаем?

Или не так?

То что члены группы UUU остаются в группе Пользователи не помешает?
http://tl2002.livejournal.com/  49.049.0

U235

старожил
★★★★★

ttt> То что члены группы UUU остаются в группе Пользователи не помешает?

Нет. Не помешает. Запрет доступа в Windows имеет более высокий приоритет, чем его разрешение.

Только на пути к папке не запрещай чтение списка содержимого, если хочешь чтоб пользователь до ней добрался. Ну и в самой папке отключи наследование доступов от родительской папке и убери запреты.
В человеке всё должно быть прекрасно: погоны, кокарда, исподнее. Иначе это не человек, а млекопитающее  49.049.0

ttt

аксакал

U235> Нет. Не помешает. Запрет доступа в Windows имеет более высокий приоритет, чем его разрешение.
...

Вот спасибо! Буду пробовать.
http://tl2002.livejournal.com/  49.049.0
+
+1
-
edit
 

VVSFalcon

аксакал

U235> Только на пути к папке не запрещай чтение списка содержимого . . .
Или, сетевым доступом. При этом включить "Обход перекрестной проверки".
Ба, да это же жопа! Интересно, как выглядели ее создатели? (c)  53.0.2785.14353.0.2785.143

ttt

аксакал

VVSFalcon> Или, сетевым доступом. При этом включить "Обход перекрестной проверки".

Как и что это даст?
http://tl2002.livejournal.com/  49.049.0
+
+1
-
edit
 

VVSFalcon

аксакал

VVSFalcon>> Или, сетевым доступом. При этом включить "Обход перекрестной проверки".
ttt> Как и что это даст?
1. Как - выдать общий доступ к папке (вкладка "Доступ" в свойствах).
2. Локальное подключение - Подключить сетевой диск - \\127.0.0.1\имя_указанное_в_п.1, или " сеть, там найти этот компьютер, и залезть в эту папку".
3. Что даст - "Только на пути к папке не запрещай чтение списка содержимого, если хочешь чтоб пользователь до ней добрался." становится не актуальным. Т.е. для группы UUU все папки на диске D, кроме заданной (а она может быть и подпапкой какой нибудь папки в корне диска D) и её дочерних подпапок не видны от слова совсем. Пользователи группы UUU не то, что залезть в них и прочитать что-то не смогут, они просто знать не будут о их существовании. Естественно с самой папки FFF надо снять наследование и убрать запрет.
4. Как - "Обход . . ." Администрирование - Локальная политика безопасности - Локальная политика - Назначение прав пользователя - Обход перекрёстной проверки. Если нет группы UUU - добавить её. Впрочем, обычно там уже есть группа "Все" :-)
Ба, да это же жопа! Интересно, как выглядели ее создатели? (c)  53.0.2785.14353.0.2785.143
+
+1
-
edit
 
ttt> То что члены группы UUU остаются в группе Пользователи не помешает?
не помешает.
Наследование прав идёт сверху вниз.
Если после выдачи запрета на весь диск даём разрешение на одну папку - от неё наверх или вбок наследоваться ничего не может. Только вниз. Так что, всё ок. Единственный момент - желательно папку в корне положить или в профиль дефолт юзера всунуть шорткат сразу к папке, чтоб он создавался на всех новых профилях, потому что если запрет на листинг выписывать, то как они дойдут до папки? Только так.

а вообще, емнис. можно было примапить ресурс. Диск как папку, папку как диск, и емнис, папку как папку.
Таким макаром, чтоб юзвери видели её или как отдельный диск, или как отдельную папку среди своих библиотек. Так безопасность получается выше, они не видят того, что не предназначено для их глаз, вообще.
 26.026.0
LT Bredonosec #26.10.2016 01:51  @VVSFalcon#26.10.2016 01:41
+
-
edit
 
VVSFalcon>>> Или, сетевым доступом.
аа, блин. кристобаль хозевич успел раньше )))
 26.026.0
+
-
edit
 

ttt

аксакал

Bredonosec> Если после выдачи запрета на весь диск даём разрешение на одну папку - от неё наверх или вбок наследоваться ничего не может. Только вниз. Так что, всё ок. Единственный момент - желательно папку в корне положить

Она у меня уже в корне.

Спасибо тебе и остальным.
http://tl2002.livejournal.com/  49.049.0

в начало страницы | новое
 
Поиск
Настройки
Твиттер сайта
Статистика
Рейтинг@Mail.ru