Разрешить пользователям видеть папку в общем файловом ресурсе Windows, но не входить в нее

tag-icon tag-icon permissions network-share windows-server-2016 access-control-list
Разрешить пользователям видеть папку в общем файловом ресурсе Windows, но не входить в нее

Вероятно, этот вопрос уже задавался где-то, но я не могу найти вопрос, который бы точно соответствовал нашим критериям.

У нас есть система Windows Server 2016 Standard, которая запускает файловые ресурсы. Внутри одного из ресурсов у нас есть папка (в этом примере ресурс называется "GeneralShare", а папка — "ControlledFolder"). Мы хотели бы, чтобы сама папка была указана в ресурсе, но не разрешатьлюбойпользователь, не входящий в группу "ControlledFolderAccess" в AD, не имеет доступа к данным. Таким образом, любой пользователь, не входящий в группу "ControlledFolderAccess", будет знать, что папка существует, но не сможет увидеть ее содержимое. (У нас также есть неявные правила доступа, такие как системные и локальные администраторы (и администраторы домена), также имеющие разрешение.)

Мы экспериментировали с набором разрешений, настраивая чтение/запись/выполнение и все итерации специальных разрешений между ними, а также экспериментировали с разрешениями «запретить». Однако мы не нашли надлежащего набора правил, который бы должным образом охватывал правила.

Кто-нибудь знаетспецифическийкакие правила нам нужно установить, чтобы запретить пользователям входить в каталог, но при этом видеть, что каталог существует в самом общем ресурсе?

Вот что мы сделали в тестовом каталоге, чтобы попытаться воспроизвести:

Общие разрешения:

РАЗРЕШАЮЩИЕ ПРАВИЛА:

  • Администраторы домена: полный контроль
  • Локальные системные администраторы: полный доступ
  • Пользователи домена: Изменить
  • Пользователь SYSTEM: Полный доступ

ПРАВИЛА ОТКАЗА:

  • НИКТО

Правила GeneralShare/ControlledFolder:

(НЕТ НАСЛЕДОВАНИЯ)

РАЗРЕШАЮЩИЕ ПРАВИЛА:

  • Администраторы домена: полный контроль
  • Локальные системные администраторы: Полный доступ
  • ControlledFolderAccess: Полный доступ

Насколько я понимаю, эти разрешениядолженработа... мы где-то упускаем правило Deny или стандартное поведение для Server 2016 простоизмененный? (Эти же разрешения на сервере 2012R2, на котором есть другие общие ресурсы, работают как и ожидалось: мы можем видеть папку, но не можем получить к ней доступ, если мы не администратор и не имеем явного доступа или не входим в группу ControlledFolderAccess... но в 2016 году эти папки просто не отображаются с такими разрешениями)

решение1

Похоже, что Access Based Enumeration включен на родительском ресурсе, что не позволяет пользователям видеть папки, на которые у них нет разрешений. Если вы отключите ABE на родительском ресурсе, это должно позволить им видеть, но не получать доступ к рассматриваемой папке.

Связанный контент