Немного повозился с разрешениями для некоторых папок, которые мне было предложено создать. Я уверен, что их довольно просто создать, но я на борту автобуса борьбы.
Я создал группы безопасности для каждой подпапки каталога. Есть общая группа безопасности, которая позволяет всем в компании видеть папку. Что-то странное происходит при назначении разрешений для подпапок. Когда я удаляю группу «Все», это удаляет мою возможность видеть подпапку.
ИДЕЯ:
Каталог верхнего уровня- Все могут видеть
- Каталог 1- Все (могут видеть папку, но не ее содержимое) | Группа 1 - (Чтение/Запись/Выполнение)
- Каталог 2- Все (могут видеть папку, но не ее содержимое) | Группа 2 - (Чтение/Запись/Выполнение)
- Каталог 3- Все (могут видеть папку, но не ее содержимое) | Группа 3 - (Чтение/Запись/Выполнение)
Любая помощь будет высоко оценена!
Спасибо!
решение1
Некоторые замечания, которые могут вам помочь
посмотрите, какая группа дает вам права доступа, и вы сами ответите на свой вопрос.
Необходимо различать 2 типа групп безопасности:
- Группы для доступа к ресурсам. Обычно R/Exec и группа RW на каждом ресурсе (здесь управляемый каталог). Никогда не предоставляйте полный доступ пользователю, никогда, нет никогда
- Управление группами. Должен присутствовать везде с полным доступом.
Если вы являетесь администратором, вы должны быть членом одной или нескольких управляющих групп. Например, ServiceDesk Group, Admin Server, Admin Workstation Group, Domain Admins (да! Все администраторы не должны быть членами этой группы)
- А как насчет прав доступа к общему ресурсу?Неважно, не играйте с этим. Все Полный контроль или более безопасно, Пользователи домена или Аутентифицированные пользователи Полный контроль. Вы можете поставить Группы AD, если хотите, но после этого управлять ими действительно сложно (а иногда и невозможно).
Имейте в виду: между правами на общий доступ и разрешениями NTFS,Побеждает тот, кто меньше. то есть: Права доступа к общему ресурсу - Разрешения NTFS - результат Чтение - Полный доступ - Чтение нормально, если подумать, то перед доступом к файлам необходимо пройти через общий ресурс.
Если вы хотите быстро проверить/управить разрешения NTFS: используйте модуль NTFSSecurity (в галерее PowerShell)
Пример использования с несколькими строками кода: $share = "\server\share" # собрать каталоги первого уровня. Если многоуровневые, используйте -Depth $Tree = Get-ChildItem -Path $share -Directory | Select-Object Name, FullName # Импортировать модуль NTFSSecurity (приятнее всего использовать командлет Get-Acl) Import-Module NTFSSecurity # Собрать разрешения NTFS для общего ресурса $result = Get-NTFSAccess -Path $share # Собрать разрешения NTFS для каждого подкаталога. $result += foreach ($dir in $Tree) { Get-NTFSAccess -Path dir.fullName -ExcludeInherited # просто чтобы облегчить выходной файл. Вы также можете -ExcludeExplicit в зависимости от того, что вы ищете. } # Экспортировать в файл .csv $result | Export-Csv -Path c:\exportPath\NTFSPerms.csv -NoTypeInformation # используйте -Encoding -Delimiter при необходимости
Примечание: не считайте это скриптом, там нет обработки ошибок. Это просто несколько строк, ничего больше.
С уважением Олив