Права на папки в домене Windows 2003

← →
*Pavel (2008-09-10 12:02) [0]

Поставил домен, а права раздать не могу, задолбался окончательно.
Создал на сервере папку FILMS, открыл общий доступ к ней. В разрешениях добавил группу "Пользователи домена" поставил для нее птицу на чтение. На вкладке "Безопасность" добавил группу "Пользователи домена" и поставил птицы на:
- чтение и выполнение
- список содержимого папки
- чтение
На этом с папкой FILMS все.
Далее создаю внутри нее папку BACKUP, в которую разрешен полный доступ пользователю домена test. На вкладке "Безопасность" для этой папки выставляю абсолютно все птицы для пользователя test. Для проверки захожу в Дополнительно-Действующие разрешения. Еще раз убеждаюсь, что пользователю test разрешено абсолютно все. Регистрируюсь в домене под test-ом, пытаюсь создать папку либо файл - "Не удается создать папку. Отказано в доступе".
Подскажите, плиз, что я делаю не так?

← →
Правильный$Вася (2008-09-10 12:08) [1]

проверь наследование прав на папки
в нт действует не аддитивная, а отъемлемая политика

← →
brother © (2008-09-10 12:18) [2]

> test

ты локального пользователя с доменным не путаешь?

← →
*Pavel (2008-09-10 13:22) [3]

Что касается наследования - я поснимал птицы на опциях:
"Разрешить наследование разрешений от родительского объекта к этому объекту и его дочерним объектам, добавляя их к разрешениям, явно заданным в этом окне"
причем как для корневой папки FILMS так и для ее подпапки BACKUP.

В Дополнительных параметрах безопасности для папки BACKUP:
Элементы разрешений:
Тип: Разрешить
Имя: Test (test@greta.local)
Разрешение: полный доступ
Унаследовано от: <не унаследовано>
Применять к: Для этой папки, ее подпапок и файлов

Локального пользователя с доменным я не путаю:
Создан в Active Directory->пользователи и компьютеры-> домен Greta.local->Zavod->Otdel_1->Otdel_1_1-> (user test)

← →
brother © (2008-09-10 13:34) [4]

напиши полный путо до папки BACKUP...

← →
brother © (2008-09-10 13:36) [5]

> Регистрируюсь в домене

каким образом?

← →
Something (2008-09-10 13:40) [6]

пользователь test заходит в ресурс как \\servername\backup или \\servername\films\backup? второй вариант не пройдет, разрешения на шару имеют приоритет над ntfs правами

← →
*Pavel (2008-09-10 14:07) [7]

У пользователей сетевой диск подключается в профиле (в сценарии входа) следующим образом:

Set objShell = WScript.CreateObject("WScript.Shell")

strResult = mapNetworkDrive("K:","\\xeon2duo\films")

" Применение:
" strFunctionResult = mapNetworkDrive (DLetter, SharePath)
" SharePath="\\R039.PFR.RU\Общие ресурсы\Базы данных КонсультантПлюс" " Сетевой путь к диску
" DLetter="V:" " Буква диска

Function checkNetworkMapping(strDriveLetter)
Set objNetwork = WScript.CreateObject("WScript.Network")
"WScript.Echo "Проверяем наличие подключенного сетевого диска "
CheckNetworkMapping = False
For Each strDrive In objNetwork.EnumNetworkDrives
If LCase(strDrive) = LCase(strDriveLetter) Then
checkNetworkMapping = True
Exit For
End If
Next
If checkNetworkMapping Then
" WScript.Echo "Сетевой диск найден"
Else
" WScript.Echo " Сетевой диск не найден"
End If
End Function

" Эта подпрограмма ассоциирует букву с сетевым каталогом
Function mapNetworkDrive(strDriveLetter, strNetShare)
Set objNetwork = WScript.CreateObject("WScript.Network")
on error resume next
err.clear
"WScript.Echo "Подключаем сетевой диск."
objNetwork.MapNetworkDrive strDriveLetter, strNetShare, false
if err <> 0 then
"Подключение не удалось
"WScript.Echo "не могу ассоциировать " & driveletter & " с " & netshare
objNetwork.RemoveNetworkDrive strDriveLetter
objNetwork.MapNetworkDrive strDriveLetter, strNetShare, false
else
"WScript.Echo "ОК..."
end if
mapNetworkDrive = "ok"
End Function

Пользователь, у которого не подключается сетевой диск автоматом, заходит на ресурс как \\xeon2duo\films\backup. А как иначе? Если выбросить из пути films, т.е. оставить просто \\xeon2duo\backup - выдаст, что ресурс не найден. Ведь расшаренным ресурсом является только папка FILMS. Если расшарить BACKUP, то тогда, конечно, можно ходить напрямую \\xeon2duo\backup.

← →
Рамиль © (2008-09-10 14:26) [8]

> Создал на сервере папку FILMS, открыл общий доступ к ней.
> В разрешениях добавил группу "Пользователи домена" поставил
> для нее птицу на чтение

Поставь всем полный доступ.

> На вкладке "Безопасность" добавил группу "Пользователи домена"
> и поставил птицы на:
> - чтение и выполнение
> - список содержимого папки
> - чтение
> На этом с папкой FILMS все.
> Далее создаю внутри нее папку BACKUP

Вот на содержимое подпапки backup и действуют права папки films...

> Something (10.09.2008 13:40:06) [6]

Наоборот.

← →
*Pavel (2008-09-10 14:48) [11]

> Вот на содержимое подпапки backup и действуют права папки films...
Каким образом? Ведь в параметрах безопасности и для папки Backup и для папки Films запрещено наследование разрешений от родительских объектов к дочерним.

← →
*Pavel (2008-09-10 15:30) [12]

В общем разобрался я.
Разрешения, выданные при расшаривании расширить НТФС-разрешениями невозможно, а вот сузить-запросто. Получается, что при расшаривании папки пользователям домена надо выдавать полный доступ, а уже в правах НТФС его уменьшать до требуемой величины.

Права на папки в домене Windows 2003 Найти похожие ветки