Probablemente esto se haya preguntado en otro lugar, pero no puedo encontrar una pregunta que cumpla exactamente con el criterio que tenemos.
Tenemos un sistema Windows Server 2016 Standard que ejecuta archivos compartidos. Dentro de uno de los recursos compartidos, tenemos una carpeta (para los propósitos de este ejemplo, el recurso compartido se llama "GeneralShare" y la carpeta es "ControlledFolder") allí. Nos gustaría que la carpeta en sí aparezca en el recurso compartido, pero no permitircualquierusuario que no esté en el grupo "ControlledFolderAccess" en AD para tener acceso a los datos. Por lo tanto, cualquier usuario que no esté en el grupo "ControlledFolderAccess" sabrá que la carpeta existe pero no podrá ver el contenido que contiene. (También tenemos reglas de acceso implícitas, como que el sistema y los administradores locales (y administradores de dominio) también tengan permiso).
Hemos experimentado con un conjunto de permisos, ajustando lectura/escritura/ejecución y todas las iteraciones de permisos especiales intermedios, y también experimentamos con los permisos de "denegar". Sin embargo, no hemos encontrado el conjunto adecuado de reglas que abarquen adecuadamente las reglas.
¿Alguien sabe elespecífico¿Cuáles son las reglas que debemos establecer para evitar que los usuarios ingresen al directorio pero aún vean que el directorio existe en el recurso compartido?
Esto es lo que hicimos en un directorio de prueba para intentar replicar:
Permisos generales para compartir:
PERMITIR REGLAS:
- Administradores de dominio: control total
- Administradores del sistema local: control total
- Usuarios del dominio: Modificar
- Usuario del SISTEMA: Control total
REGLAS DE NEGAR:
- NINGUNO
Reglas generales de carpeta compartida/controlada:
(SIN HERENCIA)
PERMITIR REGLAS:
- Administradores de dominio: control total
- Administradores de sistemas locales: control total
- ControlledFolderAccess: Control total
Según tengo entendido, estos permisosdeberíafunciona... ¿nos falta una regla de denegación en alguna parte, o el comportamiento estándar para Server 2016 simplementecambió? (Estos mismos permisos en un servidor 2012R2 que tiene otros recursos compartidos funcionan como se esperaba, podemos ver la carpeta pero no acceder a ella si no somos administradores y no tenemos acceso explícito o no estamos en el grupo ControlledFolderAccess. . pero en 2016, estas carpetas simplemente no aparecen con estos permisos establecidos).
Respuesta1
Parece que la enumeración basada en acceso está habilitada en el recurso compartido principal, lo que impide que los usuarios vean carpetas para las que no tienen permisos. Si deshabilita ABE en el recurso compartido principal, eso debería permitirles ver, pero no acceder, a la carpeta en cuestión.