Benutzern das Anzeigen eines Ordners in einer Windows-Dateifreigabe erlauben, diesen aber nicht aufrufen

tag-icon tag-icon permissions network-share windows-server-2016 access-control-list
Benutzern das Anzeigen eines Ordners in einer Windows-Dateifreigabe erlauben, diesen aber nicht aufrufen

Dies wurde wahrscheinlich schon woanders gefragt, aber ich kann keine Frage finden, die genau unserem Kriterium entspricht.

Wir haben ein Windows Server 2016 Standard-System, auf dem Fileshares laufen. In einer der Freigaben haben wir einen Ordner (in diesem Beispiel heißt die Freigabe „GeneralShare“ und der Ordner „ControlledFolder“). Wir möchten den Ordner selbst in der Freigabe aufgelistet haben, aber nicht zulassen, dassbeliebigBenutzer, die nicht in der Gruppe „ControlledFolderAccess“ in AD sind, um Zugriff auf die Daten zu haben. Daher weiß jeder Benutzer, der nicht in der Gruppe „ControlledFolderAccess“ ist, dass der Ordner existiert, kann den Inhalt darin aber nicht sehen. (Wir haben auch implizite Zugriffsregeln, wie z. B. dass das System und lokale Administratoren (und Domänenadministratoren) ebenfalls die Berechtigung haben.)

Wir haben mit einer Reihe von Berechtigungen experimentiert, Lesen/Schreiben/Ausführen und alle dazwischen liegenden Iterationen von Sonderberechtigungen angepasst und auch mit den „Verweigern“-Berechtigungen experimentiert. Wir haben jedoch nicht den richtigen Regelsatz gefunden, der die Regeln richtig umfasst.

Kennt jemand dieSpezifischRegeln, die wir festlegen müssen, um Benutzer am Zugriff auf das Verzeichnis zu hindern, aber dennoch zu sehen, dass das Verzeichnis in der Freigabe selbst existiert?

Um zu versuchen, es zu replizieren, haben wir Folgendes in einem Testverzeichnis gemacht:

Allgemeine Freigabeberechtigungen:

Regeln zulassen:

  • Domänenadministratoren: Vollzugriff
  • Lokale Systemadministratoren: Vollzugriff
  • Domänenbenutzer: Ändern
  • SYSTEM-Benutzer: Vollzugriff

Regeln zur Ablehnung:

  • KEINER

Allgemeine Freigabe-/Kontrollierte Ordner-Regeln:

(KEINE VERERBUNG)

Regeln zulassen:

  • Domänenadministratoren: Vollzugriff
  • Lokale Systemadministratoren: Vollzugriff
  • ControlledFolderAccess: Vollzugriff

So wie ich es verstehe, diese BerechtigungensollenArbeit... fehlt uns irgendwo eine Deny-Regel, oder hat das Standardverhalten für Server 2016 einfachgeändert? (Dieselben Berechtigungen funktionieren auf einem 2012R2-Server mit anderen Freigaben wie erwartet. Wir können den Ordner sehen, aber nicht darauf zugreifen, wenn wir kein Administrator sind und keinen expliziten Zugriff haben oder nicht zur Gruppe „ControlledFolderAccess“ gehören … aber in 2016 werden diese Ordner mit diesen festgelegten Berechtigungen einfach nicht angezeigt.)

Antwort1

Es scheint, als ob die zugriffsbasierte Aufzählung auf der übergeordneten Freigabe aktiviert ist, wodurch Benutzer keine Ordner sehen können, für die sie keine Berechtigungen haben. Wenn Sie ABE auf der übergeordneten Freigabe deaktivieren, sollten sie den betreffenden Ordner sehen, aber nicht darauf zugreifen können.

verwandte Informationen