Cấp quyền truy cập vào thư mục con mà không cấp quyền truy cập vào thư mục mẹ


12

Tôi có một kịch bản liên quan đến một máy chủ tệp Windows nơi "chủ sở hữu" muốn loại bỏ quyền cho một nhóm người dùng sau đây:

  • \\server\dir1\dir2\dir3: đọc, viết và thực thi
  • \\server\dir1\dir2: không có quyền
  • \\server\dir1: không có quyền
  • \\server: đọc và thực hiện

Để hiểu biết của tôi ( Cập nhật : toàn bộ đoạn này là sai!), Nó không thể làm được điều này vì Read & Executecho phép phải được cấp cho tất cả các thư mục cha mẹ trong một chuỗi thư mục theo thứ tự cho hệ điều hành để có thể "nhìn thấy" đứa trẻ thư mục và nhận được chúng. Nếu không có sự cho phép này, bạn thậm chí không thể có được mã thông báo bối cảnh bảo mật khi cố gắng truy cập thư mục lồng nhau, ngay cả khi bạn có quyền truy cập đầy đủ vào thư mục con.

Chúng tôi đang tìm cách để khắc phục điều này mà không cần chuyển dữ liệu từ \\server\dir1\dir2\dir3sang \\server\dir4.

Một cách giải quyết tôi nghĩ đến, nhưng tôi không chắc nó có hoạt động hay không, đang tạo ra một loại liên kết hoặc đường giao nhau \\server\dir4có liên quan đến \\server\dir1\dir2\dir3. Tôi không chắc những tùy chọn khả dụng nào (nếu có) sẽ hoạt động cho mục đích này nếu người dùng không có Read & Executequyền \\server\dir1\dir2hoặc \\server\dir1, nhưng theo tôi biết, các tùy chọn này là:

  • Liên kết tượng trưng NTFS,
  • Giao lộ,
  • Liên kết cứng.

Vì vậy, các câu hỏi:

  • Có bất kỳ phương pháp nào phù hợp để thực hiện mục tiêu của tôi không?
  • Có phương pháp nào khác để liên kết hoặc gián tiếp tham chiếu một thư mục mà tôi chưa liệt kê ở trên, có thể phù hợp không?
  • Có bất kỳ trực tiếp các giải pháp không liên quan đến cấp giấy Read & Executeđể \\server\dir1hay \\server\dir2nhưng vẫn cho phép truy cập vào \\server\dir1\dir2\dir3?

Điều này là khả thi. Người dùng sẽ thấy thư mục nhưng nếu không được phép đọc, không thể thấy nội dung của thư mục, đủ dễ để thiết lập.
Ramhound

Đó cũng là câu hỏi của tôi. Cảm ơn bạn đã nâng cao cuộc thảo luận. Và để cập nhật câu hỏi của bạn để phản ánh ngay lập tức rằng giả định của bạn là sai.
tyron

Câu trả lời:


15

Bạn đang nhầm lẫn trong giả định ban đầu của mình, điều này làm cho phần còn lại của câu hỏi của bạn được đưa ra.

Sự cho phép tối thiểu mà người dùng sẽ cần dir1dir2Traverse Directory. Điều này rất có thể sẽ gây rắc rối cho người dùng của bạn, mặc dù vậy - vì vậy tôi muốn giới thiệu Traverse Directory List Folders . Họ sẽ có thể điều hướng qua hai thư mục hàng đầu và đến dir3nơi họ có nhiều quyền hơn, nhưng thậm chí sẽ không thấy tệp nào tồn tại trong hai thư mục hàng đầu.

Quyền thích Read & ExecuteModifychỉ là tập hợp các quyền riêng lẻ. Chúng là thứ đầu tiên bạn nhìn thấy, bởi vì chúng được sử dụng phổ biến nhất. Nếu bạn cần lấy rất chi tiết (như tình huống này), nhấp vào Advancednút và tìm hiểu các tùy chọn được liệt kê ở đó.


Thông tin tuyệt vời (2)! Nhưng có một điều tôi đã không theo kịp: "Tuy nhiên, điều này rất có thể sẽ gây rắc rối cho người dùng của bạn". Tại sao nó sẽ có vấn đề? Việc đặt tên khá đơn giản theo nghĩa "Traverse" dường như là sự cho phép duy nhất cần thiết. Những loại vấn đề người dùng nên mong đợi?
tyron

12

Thật đáng ngạc nhiên, nếu cá nhân có đường dẫn đầy đủ đến thư mục con mà họ có ít nhất quyền R, họ yêu cầu KHÔNG có quyền trên bất kỳ thư mục mẹ nào, thậm chí không đi qua. Họ có thể chỉ cần truy cập nó bằng cách sử dụng UNC. (Tất nhiên, họ phải có quyền đọc trên chia sẻ; không phải trên bất kỳ thư mục nào trên mức họ muốn truy cập).

Tôi đã không tin điều này khi tôi được nói, nhưng thử nghiệm đã chứng minh điều đó.

Điều này trái ngược với những gì tôi nghĩ rằng tôi biết về các quyền trong thế giới Windows và tôi nghi ngờ sẽ gây ngạc nhiên cho nhiều người.

\ server \ thư mục1 \ thư mục2 \ thư mục3

Nếu không có quyền nào cho Bilbo trên thư mục1 và trên thư mục2, nhưng Bilbo đã sửa đổi (ví dụ) trên thư mục3, \ server \ thư mục1 \ thư mục 2 \ thư mục 3 sẽ đưa anh ta ngay tại đó, không vấn đề gì.


Điều này hoạt động khi folder1có quyền SHARE và quyền NTFS được đặt trên folder3Vì vậy, điều này \\server\c$\folder1\folder2\folder3sẽ không hoạt động.
dùng2304170

1
Để thêm vào câu trả lời này, "khả năng" ngầm này để duyệt các thư mục mẹ đến thư mục con, tuy nhiên sâu, mà bạn có quyền truy cập được cấp bởi người dùng có tên là "Bypass Traverse Checking" được cấp trong Chính sách nhóm theo mặc định cho hầu hết / tất cả người dùng trong hầu hết các trường hợp. Xem itprotoday.com/manloyment-mobility/ vì tôi không thể dán đủ vào đây để nắm bắt danh sách những gì được phép trong hoàn cảnh nào.
Rook

Bypass Traverse Kiểm tra như một quyền cũng có tính năng tăng cường hiệu năng NTFS để cho phép bỏ qua việc kiểm tra quyền của từng thư mục trên cây để mở thư mục / tệp mong muốn cuối cùng, vì vậy bạn không nên xóa nó trừ khi bạn biết bạn cần mức độ bảo mật cực kỳ cao.
Rook

1

Một giải pháp tương tự MDMarra là đặt quyền NTFS như sau:

  1. dir1 : Cấp nội dung thư mục danh sách (thư mục Traverse / tệp thực thi, thư mục danh sách / đọc dữ liệu, đọc thuộc tính, đọc thuộc tính mở rộng, quyền đọc)
  2. NHƯNG chọn Thư mục này chỉ dành cho Áp dụng cho thả xuống
  3. dir2 : Cấp danh sách nội dung thư mục và Chỉ áp dụng cho thư mục này
  4. dir3 : Cấp quyền đọc / ghi mong muốn và Áp dụng cho thư mục này, thư mục con và tệp hoặc chỉ thư mục con và tệp

Kết quả cuối cùng là người dùng / nhóm có thể đọc từng thư mục cha riêng lẻ và truy sâu vào thư mục con mà không cần bất kỳ thư mục hoặc tệp nào khác.


Điều đó không giống với câu trả lời của MDMarra, đó câu trả lời của MDMarra, được đánh vần chi tiết hơn.
Scott

0

Vì vậy, tôi đã thử nghiệm điều này trong môi trường sau đây vì tôi muốn có câu trả lời cuối cùng, đã được kiểm tra, trên các quyền tối thiểu cần thiết để duyệt qua các thư mục thông qua trình duyệt (tức là thông qua Windows File Explorer). Dưới đây là kết quả cho những người muốn khóa chặt mọi thứ.

Tôi chưa thử nghiệm điều này trong sản xuất để xem liệu có bất kỳ tác dụng phụ kỳ lạ nào từ việc giảm bớt mẫu quyền truy cập được kiểm tra tốt "tiêu chuẩn" của

  • Đi qua thư mục
  • Danh sách thư mục
  • Đọc thuộc tính
  • Đọc Ext. Thuộc tính
  • Đọc quyền

... về cơ bản chỉ là các quyền "Đọc và Thực thi" bình thường giới hạn trong "Thư mục này". Điều đó nói rằng, thử nghiệm quy mô nhỏ đã hoàn toàn tốt cho đến nay đối với người dùng chỉ cần di chuyển, sao chép và xóa các tệp trên máy chủ và người dùng hoàn toàn làm việc với các bản sao tài liệu của máy chủ, v.v.


Môi trường:

  • Máy chủ : Windows 2008 R2 - Chính sách nhóm ít, không thay đổi liên quan đến quyền người dùng, được định cấu hình như bộ điều khiển miền, DNS tích hợp AD, thiết lập rất chuẩn / cơ bản.
  • Máy khách : Windows 7 SP1 - Cài đặt sạch trong máy ảo, khởi động lại giữa mọi thay đổi để đảm bảo kết nối với máy chủ được tạo lại hoàn toàn mỗi lần.
  • Cả hai bản cài đặt được vá vào ít nhất là vào cuối năm 2017, do đó, có khả năng hiện tại cho bất kỳ điều gì liên quan đến các quyền được tích hợp vào thời điểm này trong dòng thời gian của Windows.
  • Điều này đã truy cập vào một thư mục chia sẻ được gắn dưới dạng một ổ đĩa mạng liên tục (\ server \ share -> S :) trong VM. Quyền chia sẻ đã được đọc + Thay đổi cho nhóm Người dùng được xác thực bao gồm người dùng thử nghiệm và tất cả những người khác có thể sẽ cần quyền truy cập tại một số điểm.
  • Sau mỗi thay đổi, tôi sẽ khởi động lại VM, mở File Explorer và chỉ cần duyệt chia sẻ bình thường, đi xuống một con đường mà tôi biết rằng người dùng thử nghiệm có các quyền truyền tải này so với các quyền mà nó không có.

Các kết quả:

  • Bắt buộc trên Thư mục gốc : ListFolder-ReadData + ReadAttribut (quyền 2x)
  • Bắt buộc trên các thư mục con : ListFolder-ReadData (quyền 1x)
  • Tùy chọn : TraverseFolder - ExecuteFile

    -> Quyền tùy chọn này chỉ quan trọng nếu Bypass Traverse Kiểm tra quyền người dùng không được phép rõ ràng, vì nó được bật theo mặc định trong 99% trường hợp. Nói cách khác, quyền người dùng "Bỏ qua kiểm tra ngang" (được hiển thị trong Chính sách nhóm, không phải trong quyền truy cập tệp / thư mục NTFS) được bật hoàn toàn làm mất đặc quyền này và làm cho đặc quyền này được bật ở mọi nơi theo mặc định. Lưu ý: Tôi đã không kiểm tra xem liệu từ chối rõ ràng về quyền này, đến lượt mình, sẽ ngăn người dùng Kiểm tra đường ngang kiểm tra quyền có hiệu lực trong trường hợp cụ thể đó hay không, nhưng có thể).

Thông tin bổ sung: Quyền người dùng "Bỏ qua kiểm tra qua đường" cho phép ai đó truy cập thụ động vào thư mục con, tuy nhiên, ở nhiều cấp độ sâu, họ có quyền truy cập trực tiếp (nghĩa là các quyền được đặt trên tệp / thư mục đó, nhưng không nhất thiết phải ở bất kỳ nơi nào khác đường dẫn tập tin).

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.