Регистрация Войти
Рейтинг:0
avatar Server

Локальные пользователи вмешиваются в общий доступ к файлам пользователей домена

флаг cw
nepdev

Сделал файлообменник "Shares" в папке прямо под жестким диском (назовем его E:) в ящике Windows Server 2016. Сервер является частью домена «domain.com».

Разрешения на совместное использование — Все: Полный доступ.
Разрешения NTFS — оставлены разрешения по умолчанию
(Это означает, что в нем есть записи для СИСТЕМЫ, СОЗДАТЕЛЯ-ВЛАДЕЛЬЦА, Администраторов. Я также добавил администраторов домена, что не имеет значения для дальнейшего.)

2 подпапки этой папки, share1 — добавлены разрешения NTFS: [email protected] (полный доступ) share2 — добавлены разрешения NTFS: [email protected] (полный доступ).

user1 и user2 являются непривилегированными пользователями.

В такой настройке я ожидал бы, что user1 может просматривать, редактировать, изменять все в share1, но он не может просматривать или даже перечислять элементы в share2, не говоря уже о том, чтобы редактировать их. И эквивалент для user2.

Однако ДЕЙСТВИТЕЛЬНО происходит то, что и пользователь1, и пользователь2 могут просматривать и читать каждую отдельную папку и файл как в общем ресурсе1, так и в общем ресурсе2. Они не могут изменять файлы, но могут их читать. Тем не менее, я никогда не давал им никаких разрешений на это. Я не хочу, чтобы они читали файлы или даже могли их перечислять. Если я запускаю "Эффективный доступ" с вкладки "Дополнительно" в окне "Безопасность", это дает точно такую ​​же картину. Он запрещает модификацию, но не чтение.

Что я заметил, так это то, что разрешения по умолчанию для жесткого диска E: сами по себе включают записи для ЛОКАЛЬНЫХ пользователей:

имя_сервера\Пользователи

И у них есть права на чтение/запись, перечисление и т. д. И они наследуют каждую подпапку, включая share1 и share2.

Когда я изменяю разрешения этих локальных пользователей непосредственно на жестком диске на «только для этой папки», разрешения больше не наследуются для всех подпапок.

И ТОГДА ОБМЕН ВЕДЕТСЯ, КАК Я БЫ ОЖИДАЛ:

  • Пользователь 1 может просматривать/редактировать файлы в общей папке 1, но не может видеть общую папку 2.
  • User2 может просматривать/редактировать файлы в share2, но не может видеть share1.

Итак, после этого длинного вступления, вот мой вопрос:

Почему эта учетная запись ЛОКАЛЬНОГО пользователя каким-то образом мешает разрешениям пользователей домена с определенными именами?

Это как если бы пользователи домена «сопоставлялись» с локальной группой пользователей «имя_сервера\Пользователи», но имеет ли это какой-то смысл? Или здесь что-то еще происходит?

9
0 + 0
yagmoth555 avatar
флаг cn
yagmoth555
Пожалуйста, разместите действующее право на долю1 и долю2. Что-то не так настроено
0
Ответить
флаг cn
Greg Askew
Я полагаю, что локальная группа пользователей по умолчанию содержит идентификатор аутентифицированных пользователей. Вы должны подтвердить права доступа к общему ресурсу/папке при настройке. Также есть некоторые довольно открытые права доступа к папке в корневом каталоге дисков, если они не изменены. Похоже, до сих пор никто не удосужился проверить это.
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.