Permitir que os usuários vejam uma pasta em um compartilhamento de arquivos do Windows, mas não entrem nela

tag-icon tag-icon permissions network-share windows-server-2016 access-control-list
Permitir que os usuários vejam uma pasta em um compartilhamento de arquivos do Windows, mas não entrem nela

Provavelmente isso já foi feito em outro lugar, mas não consigo encontrar uma pergunta que atenda ao critério exato que temos.

Temos um sistema Windows Server 2016 Standard que executa compartilhamentos de arquivos. Dentro de um dos compartilhamentos, temos uma pasta (para fins deste exemplo, o compartilhamento é chamado de “GeneralShare” e a pasta é “ControlledFolder”). Gostaríamos que a própria pasta fosse listada no compartilhamento, mas não permitimosqualquerusuário que não está no grupo "ControlledFolderAccess" no AD para ter acesso aos dados. Portanto, qualquer usuário que não esteja no grupo "ControlledFolderAccess" saberia que a pasta existe, mas não seria capaz de ver o conteúdo dentro dela. (Também temos regras de acesso implícitas, como o sistema e os administradores locais (e administradores de domínio) também tendo permissão.)

Experimentamos um conjunto de permissões, ajustando leitura/gravação/execução e todas as iterações de permissões especiais intermediárias, e também experimentamos as permissões de 'negação'. No entanto, não encontramos o conjunto adequado de regras que abrangeria adequadamente as regras.

Alguém conhece oespecíficoregras que precisamos definir para evitar que os usuários entrem no diretório, mas ainda vejam que o diretório existe no próprio compartilhamento?

Isto é o que fizemos em um diretório de teste para tentar replicar:

Permissões gerais de compartilhamento:

PERMITIR REGRAS:

  • Administradores de domínio: controle total
  • Administradores de sistema local: controle total
  • Usuários do domínio: Modificar
  • Usuário do SISTEMA: Controle total

REGRAS DE NEGAÇÃO:

  • NENHUM

Regras gerais de compartilhamento/pasta controlada:

(SEM HERANÇA)

PERMITIR REGRAS:

  • Administradores de domínio: controle total
  • Administradores de sistema locais: controle total
  • ControlledFolderAccess: controle total

Pelo que entendi, essas permissõesdevefunciona... estamos faltando uma regra de negação em algum lugar ou o comportamento padrão do Server 2016 acaboumudado? (Essas mesmas permissões em um servidor 2012R2 que possui outros compartilhamentos funcionam conforme o esperado, podemos ver a pasta, mas não acessá-la se não formos administradores e não tivermos acesso explícito ou não estivermos no grupo ControlledFolderAccess. . mas em 2016, essas pastas simplesmente não aparecem com essas permissões definidas)

Responder1

Parece que a enumeração baseada em acesso está habilitada no compartilhamento pai, o que impede que os usuários vejam pastas para as quais não têm permissão. Se você desabilitar o ABE no compartilhamento pai, isso deverá permitir que eles vejam, mas não acessem, a pasta em questão.

informação relacionada