Saya memiliki skenario yang melibatkan server file Windows di mana "pemilik" ingin membagikan izin kepada sekelompok pengguna dari jenis berikut:
\\server\dir1\dir2\dir3
: baca, tulis, dan eksekusi\\server\dir1\dir2
: tidak ada izin\\server\dir1
: tidak ada izin\\server
: baca dan jalankan
Setahu saya ( Pembaruan : Seluruh paragraf ini salah!), Tidak mungkin melakukan ini karena Read & Execute
izin harus diberikan kepada semua direktori induk dalam rantai direktori agar sistem operasi dapat "melihat" anak direktori dan sampai ke mereka. Tanpa izin ini, Anda bahkan tidak bisa mendapatkan token konteks keamanan ketika mencoba mengakses direktori bersarang, bahkan jika Anda memiliki akses penuh ke subdirektori.
Kami mencari cara untuk mengatasi ini, tanpa memindahkan data dari \\server\dir1\dir2\dir3
ke \\server\dir4
.
Satu solusi yang saya pikirkan, tetapi saya tidak yakin apakah itu akan berhasil, adalah menciptakan semacam tautan atau persimpangan \\server\dir4
yang merupakan referensi \\server\dir1\dir2\dir3
. Saya tidak yakin yang mana dari opsi yang tersedia (jika ada) akan bekerja untuk tujuan ini jika pengguna tidak memiliki Read & Execute
izin \\server\dir1\dir2
atau \\server\dir1
, tetapi sejauh yang saya tahu, opsinya adalah ini:
- Tautan Simbolik NTFS,
- Persimpangan jalan,
- Tautan Keras.
Jadi pertanyaannya:
- Adakah metode ini yang cocok untuk mencapai tujuan saya?
- Apakah ada metode lain untuk menghubungkan atau secara tidak langsung merujuk direktori, yang belum saya sebutkan di atas, yang mungkin cocok?
- Apakah ada langsung solusi yang tidak melibatkan pemberian
Read & Execute
untuk\\server\dir1
atau\\server\dir2
tapi masih memungkinkan akses ke\\server\dir1\dir2\dir3
?
sumber
Jawaban:
Anda salah dalam asumsi awal Anda, yang membuat sisa dari pertanyaan Anda diperdebatkan.
Izin minimum yang diperlukan pengguna
dir1
dandir2
adalahTraverse Directory
. Ini kemungkinan besar akan bermasalah bagi pengguna Anda, jadi - jadi saya akan merekomendasikanTraverse Directory
danList Folders
. Mereka akan dapat menavigasi melalui dua direktori teratas dan sampai kedir3
tempat mereka memiliki lebih banyak izin, tetapi bahkan tidak akan melihat file apa yang ada di dua direktori teratas.Izin suka
Read & Execute
danModify
hanya kumpulan izin individu. Mereka adalah hal pertama yang Anda lihat, karena mereka adalah yang paling umum digunakan. Jika Anda perlu menjadi sangat terperinci (seperti situasi ini), klikAdvanced
tombol dan gali opsi yang ada di sana.sumber
Hebatnya, jika individu memiliki path lengkap ke subfolder di mana mereka memiliki setidaknya izin R, mereka memerlukan izin NO pada salah satu folder induk, bahkan tidak melintasi. Mereka cukup mengaksesnya menggunakan UNC. (Mereka harus, tentu saja, telah membaca izin untuk share; hanya saja tidak pada folder di atas level yang ingin mereka akses).
Saya tidak percaya ini ketika saya diberi tahu, tetapi pengujian membuktikannya.
Ini bertentangan dengan apa yang saya pikir saya tahu tentang izin di dunia Windows, dan saya curiga akan menjadi kejutan bagi banyak orang.
\ server \ folder1 \ folder2 \ folder3
Jika tidak ada izin sama sekali untuk Bilbo pada folder1 dan pada folder2, tetapi Bilbo telah memodifikasi (misalnya) pada folder3, \ server \ folder1 \ folder2 \ folder3 akan membawanya ke sana, tidak masalah.
sumber
folder1
memiliki izin SHARE dan izin NTFS diatur padafolder3
Jadi ini\\server\c$\folder1\folder2\folder3
tidak akan berfungsi.Salah satu solusi yang mirip dengan MDMarra adalah mengatur izin NTFS sebagai berikut:
Hasil akhirnya adalah pengguna / grup dapat membaca masing-masing folder induk dan menelusuri ke folder anak tanpa folder atau file lain.
sumber
Jadi saya telah menguji ini di lingkungan berikut karena saya ingin mendapatkan jawaban final, teruji, pada izin minimum yang diperlukan untuk hanya melintasi folder melalui penelusuran (yaitu melalui Windows File Explorer). Berikut adalah hasil untuk mereka yang ingin mengunci semuanya dengan ketat.
Saya belum menguji ini dalam produksi untuk melihat apakah ada efek samping aneh dari mengupas template hak traversal "standar" yang teruji dengan baik dari
... yang pada dasarnya hanya izin "Baca dan Jalankan" yang terbatas pada "Folder Ini". Yang mengatakan, pengujian skala kecil benar-benar baik-baik saja sejauh ini bagi pengguna hanya memindahkan, menyalin, dan menghapus file di server dan pengguna benar-benar bekerja dari salinan dokumen server, dll.
Lingkungan Hidup:
Hasil:
Opsional : TraverseFolder - ExecuteFile
-> Izin opsional ini hanya penting jika Bypass Traverse Memeriksa hak Pengguna secara eksplisit dianulir, karena diaktifkan secara default dalam 99% keadaan. Dengan kata lain, hak pengguna "Bypass Traverse Memeriksa" (diekspos dalam Kebijakan Grup, bukan dalam izin file / folder NTFS) yang diaktifkan menyingkirkan hak istimewa ini sepenuhnya dan secara efektif membuat hak istimewa ini diaktifkan di mana-mana secara default. Catatan: Saya belum menguji untuk melihat apakah penolakan eksplisit dari hak ini akan, pada gilirannya, menghentikan pengguna Bypass Traverse Checking agar tidak berlaku dalam contoh khusus itu, tetapi mungkin).
Info Tambahan: Hak pengguna "Bypass Traverse Memeriksa" memungkinkan seseorang untuk secara pasif melintas ke subfolder, betapapun banyak levelnya, yang dapat mereka akses secara langsung (yaitu izin ditetapkan pada file / folder itu, tetapi tidak harus di tempat lain lebih jauh ke atas path file).
sumber