web-dev-qa-db-ja.com

サブサブディレクトリアクセスを許可するようにWindowsACLを設定する

一部のディレクトリをNetWareからWindowsに移動している最中であり、権限の違いに遭遇しました。 NetWareを使用するとこれが簡単になるため、ボリュームの上部にユーザーが権限を持たないボリューム全体があり、ディレクトリの第1層、第2層、および第3層が権限が付与されます。 NetWareトラスティシステムの仕組みにより、ツリーの奥深くにあるディレクトリにアクセスできれば、ルートから問題なく参照できます。これには、アクセス権がないディレクトリを列挙するときに、アクセスできるディレクトリのみが表示されるという便利な副作用がありました。

'アクセスできるディレクトリのみを表示する'ことは、MicrosoftのAccess Based Enumeration(ABE)によって解決されます。これは、良いことです。

私たちが抱えている問題は、ユーザーがルート共有からアクセスできるディレクトリまで参照できるようにするために、どの権利とセキュリティポリシーを設定する必要があるかを理解することです。例を使用すると、これを簡単に説明できます。

\\server\share\finance\audit\auditreports\HR-Q4-2007

監査チームは、上記の監査レポートディレクトリ(「HR-Q4-2007」)に人事マネージャーの権限を付与します。 NetWareでは、これにより、人事マネージャーは\\ server\share \から開始し、財務、監査、および監査レポートを参照して、ディレクトリにアクセスできます。 1つの許可、そしてそれはうまくいきました。

「バイパストラバースチェック」セキュリティポリシーは、人事マネージャーがドライブを\\ server\share\Finance\audit\auditreports\HR-Q4-2007 \に直接マップできることを意味します。それは私たちが望んでいることではありません。ユーザーが上から始めて下に閲覧できるようにしたいのです。

これを有効にするには、「トラバースフォルダ」NTFS権限を使用する必要がありますか?もしそうなら、それははるかに複雑な許可環境を意味しますが、私たちはそれを解決することができます。 ABEも使用している場合、この問題はどのように解決されますか?

windowswindows-server-2008permissionsntfs
3
sysadmin1138

継承のないフォルダに適用される「フォルダの内容の一覧表示」権限(「トラバースフォルダ」の権利を含む)を探しています。ただし、アクセスベースの列挙が機能するためには、階層の下でそのアクセス許可を継承できないため、少し気が狂う必要があります。

共有のルートで、権限「HR Managers-List Folder Contents」を追加し、「Advanced」設定で、その権限を「Thisfolderonly」に適用するように設定します。サブフォルダーまたはファイルへの新しいアクセス許可を継承していないため、ABEは、ユーザーがアクセスできないサブフォルダーおよびファイルを「非表示」にしますが、「HRマネージャー」ユーザーは共有の最上位フォルダーをトラバースできます。

「HRマネージャー」の権限が許可されるレベルに達するまで、階層の各レベルを下に移動することを繰り返します。

多くの異なるグループに対してこれを行うと、フォルダ上のACLが大きくなり、管理上の問題が多く発生する可能性があります。ルートのすぐそばに制限されたフォルダーがある共有のルートに適用された「認証済みユーザー-フォルダーの内容の一覧表示」を使用することになります。また、許可階層をできるだけ浅くして、可能であれば、この「このフォルダーのみ」のトリックを下位レベルの他のグループで実行する必要がないようにします。

これは醜いハックですが、アクセスベースの列挙を取得して必要なことを実行するための最良の方法です。 「継承された権利フィルター」は[〜#〜] so [〜#〜]素晴らしく、私たちが望むことを正確に実行しますが、Microsoftはそのようなことを実装しませんでした。

(私はNetwareが特に好きだったことはありませんが、リアルタイムの継承と継承フィルタリングに関するファイルシステムのアクセス許可モデルは非常に優れています。)

7
Evan Anderson

そこに行って、それをしました。約8年前にNetwareからWin2Kに移行しましたが、そうです、アクセス許可の動作の違いが障害になる可能性があります。私ができる最善のアドバイスは、それについてあまり夢中にならないこと、そして時には完璧とは言えない解決策を受け入れることです。

preciseの動作を再現することはできません。つまり、ユーザーが必要なデータを取得できるようにするために必要なことです。動作させる方法を説明することはできません正確に Netwareの場合と同じ方法ですが、噛み付く可能性のあるものを作成しないようにするためのヒントをいくつか紹介します。

この場合、私は構造をできるだけ単純に保つことを目指します。 「auditreports」フォルダーを別のグループフォルダーとして分割することが、私の最初のステップになります。技術的にはこれを行う本当の理由はありません。正しい許可があればサブフォルダーとしては問題なく機能しますが、家の側面を管理しやすくするという観点からは、作業が簡単になります。

私が次に行うことは、毎回、UNCをADのグループ記述のグループフォルダーに配置することです。このようにして、ユーザーがメンバーになっているグループを読み取り、descriptionプロパティを引き出し、ドライブをそれにマップするログオンスクリプトを作成できます。投稿からADを取得しているかどうかはわかりませんが、更新する必要のないログオンスクリプトを使用すると、管理者のオーバーヘッドを大幅に節約できます。あなたの環境でそれを行うことができるなら、それをしてください。

最後に、私の最初のポイントに戻ると、Netwareの帽子をかぶったWindowsファイル共有に参加するのは良い考えではありません。それらは異なるOSであり、動作が異なります。理想的な世界では、移行するだけで、ユーザーに関する限り何も変わらないでしょうが、時にはそれらの卵を割ってオムレツを作る必要があります。

1
Maximus Minimus