ファイルを読み取ることはできるが、ディレクトリを参照できないようにntfsアクセス許可を設定します
OK皆さん、これは可能ではないと思いますが、:
ドメインユーザーがディレクトリ内のファイルを読み取れるようにする必要があるクライアントを取得しました。
キャッチは、彼は彼らがディレクトリを閲覧することを望まないということです。
基本的に、彼らはファイル名と場所を知っているので、それを直接開くことができます。 (パス\ファイル名全体をファイル/開くダイアログに貼り付けると仮定します。
これを行う方法はありますか?
さらに、これは問題ないかもしれませんが、ディレクトリ構造を表示できないはずです。
私の考えでは、これらすべてのファイルをアプリケーションフロントエンドの背後に配置し、(Web)アプリにアクセス許可を付与し、ファイルへのすべての直接ドメインユーザーアクセスを削除します。アプリのセキュリティを活用します。
他の方法の提案は大歓迎です。アプリケーションArchの詳細はわかりませんが、すべてファイルベースであるため、これを処理するためにフロントエンドを作成する必要があると感じています。 (私は管理者ではなくアプリケーション担当者であることに注意してください。私はテレビで管理者を演じるだけです.....私は非常に危険な管理者を十分に知っているので、単純すぎる必要はありません)
これはかなり簡単なはずです。共有でABE(アクセスベースの列挙)を有効にし、共有内のファイルとフォルダーにNTFSアクセス許可が正しく設定されていることを確認します。
http://technet.Microsoft.com/en-us/library/dd772681(WS.10).aspx
または、バイパストラバースチェックのユーザー権限により、Everyoneグループ(デフォルト)に、NTFSアクセス許可のあるファイルにアクセスするためにNTFSアクセス許可のないフォルダーを移動する機能が付与されます。何をすべきかは次のとおりです。
共有に対するEveryoneグループの変更と読み取りのアクセス許可を付与します。
共有内のフォルダーとファイルに適切なNTFSアクセス許可を設定します。
ユーザーは、を介してファイルに直接アクセスできます。
\\servername\sharename\foldername\filename
共有とNTFSのアクセス許可が正しく設定されている限り、ユーザーは共有の内容を参照しなくても適切なファイルにアクセスできます。
セットアップの問題(「すべてのファイルが1つのディレクトリにある」と正しく理解していると仮定)は、賢いクライアントが他の人のファイル名を推測し、そのデータにアクセスできることです。したがって、彼らが問題ではありません。閲覧することはできません。彼らが拾うことができるかどうかだけが重要です名前による任意のファイル、それは他のクライアントのファイルを意味します。
言い換えれば、曖昧さはセキュリティを意味するのではなく、それが見えない、心の外にあるということだけを意味します。少し想像力のある人がやって来て、それを直視します。
私はこのアプローチを再考し、おそらく各クライアントを、それらのクライアントだけがアクセスできるサブディレクトリに分離します。そうすれば、クライアントの特定のディレクトリレベルを上向きに共有するだけで、クライアントをその場所に分離できます...そして、他に見るものがないため、クライアントは必要なものをすべて参照できます。接続/ログインすると、「自分のディレクトリ」へのアクセス権のみが取得されます...他のディレクトリにアクセスできない(正しい権限がない)ため、他のディレクトリが存在しても問題ありません。