Возможности фильтрации файловой системы

[caxap]

Возможно ли выборочно делать фильтрацию/выборку по каталогам для достпу к содержимому каталога.

К примеру
1. Имеем каталог ABCD и имеем пользователя Сидорова имеющего доступ к этому каталогу - всё, кроме управления доступом и Супервизора
2. Имеем в каталоге ABCD подкаталоги A1, B1, C1, D1
3. Надо Сидорову ограничить(лучше чтоб не видел) к примеру каталог C1.
4. Количество каталогов может увеличиваться со временем. Т.е. изначально дали права Сидорову на ABCD и не заморачиваемся с правами в последующем.


Возможно ли какой-либо фильтрацией ограничить в данном примере Сидорова?

[skoltogyan]

1) на каталоге С1 ставите маску, что-бы не пропускала к нему наследуемые права .
2) с этого момента права к нему только те, которые явно назначите
3) явно назначте права, кому нужно, на этот каталог c1

[caxap]

1) на каталоге С1 ставите маску, что-бы не пропускала к нему наследуемые права .
2) с этого момента права к нему только те, которые явно назначите
3) явно назначте права, кому нужно, на этот каталог c1

Для админов это не работает? Пробовал - не получается.

[Ковалев Артем]

Для админов тоже работает, но.
Аккуратно!
1. Назначаете сначала на папку админа! Можно не себя, главное, чтобы он был.
2. В фильтре закрываете A и S права. Всё, вы больше не админ этой папке, админ тот (и только тот), кого назначили в пункте 1.

И в совете от skoltogyan пункты 1 и 3 надо поменять местами

[caxap]

Для админов тоже работает, но.
Аккуратно!
1. Назначаете сначала на папку админа! Можно не себя, главное, чтобы он был.
2. В фильтре закрываете A и S права. Всё, вы больше не админ этой папке, админ тот (и только тот), кого назначили в пункте 1.

И в совете от skoltogyan пункты 1 и 3 надо поменять местами

Так в фильтре для S(supervisor) крыжик не активен. Т.е. галка стоит и убрать не могу.

[Константин Ошмян]

Коллеги, вы уже совсем позабывали правила вычисления прав на новелловских файловых системах?

1) skoltogyan всё описал верно, с поправкой на то, что сначала нужно явно назначить новые права, а только потом - фильтровать старые.
2) от админов не прикроетесь, поскольку право [S]upervisor на файловой системе не фильтруется (не путать с правом [S]upervisor в дереве eDirectory - там его можно отфильтровать, сделав "локального админа на конкретную ветку дерева"). Но в исходном примере явно оговаривалось, что у Сидорова нет права Супервизора на верхнюю папку.
3) нужно иметь в виду (самая распространённая ошибка!), что маска прав - это свойство самой директории, а не свойство назначения прав для конкретного пользователя. Другими словами: она отфильтрует все права, назначенные выше, а не только одного лишь Сидорова выборочно. Т.е. она может отфильтровать и права, назначенные админам (кроме тех, у кого есть нефильтруемое право S), и права, назначенные бэкапному пользователю и т.д. Поэтому использовать маски надо с осторожностью.
4) альтернативный вариант: если в исходном примере Сидоров имеет права к указанным папкам только потому что они были назначены ему лично на уровне верхнего каталога ABCD (а не входит, например, в группы, которым розданы аналогичные права туда же), то можно на на уровне нижестоящего каталога C1 эти права переопределить: ещё раз назначить их тому же Сидорову, но снять в этом назначении все "галочки". Тогда, начиная с этого каталога, его эффективные права будут такими, которые назначены тут (т.е. никакими: зайти в этот каталог и увидеть его содержимое он не сможет). Остальные пользователи, которым были даны права на ABCD, будут продолжать видеть C1.

[Иван Левшин aka Ivan L.]

Немного добавлю - если Supervisor есть на сервер, он автоматически появляется для всех его томов и IRF для него, как пишет Константин, не работает.

[caxap]

Немного добавлю - если Supervisor есть на сервер, он автоматически появляется для всех его томов и IRF для него, как пишет Константин, не работает.

Есть сотрудник, в ранге "вице-админа". Основная задача - HelpDesk.
Но по необходимости может
1. Завести сотрудника.
2. Разблокировать.
3. Сменить пароль.
4. Создать каталог для совместного использования и дать права нуждающимся.
5. Помощь в восстановление файлов

Ни изучать NеtWаrе ни заниматься самообразованием не хочет, считает работу временной. Но пунктуален и добросовестен - делает что говорят без рассуждений. И при этом надо ограничить доступ его к некоторым каталогам.

Сначала я прочёл переводной талмут по NеtWаrе 5.1, там как-то бодро сказано что можно даже админа ограничить на файловую систему, но я не смог. Высказался на форуме. Из выше изложенных постов осознал - нельзя. Книга не точна может в переводе, а может и ещё в чём-то.
Чешу репу - пока не придумал в каком направлении двигаться. Руководству не понравилось, что кто-то может удаленно им помочь с форматирование файлов. Хотя я убеждал всех и всегда, что личные каталоги - это личное/конфиденциальное.

[Иван Левшин aka Ivan L.]

Админа с правами Supervisor на сервер заблокировать нельзя! Это, в общем, азы, которые вбивают на курсе "Netware. Basic Administration".
Не знаю, что там за книга и кто ее переводил, к прочтению рекомендую Гаскина, книга переведена Пашей Гарбаром и она по 6.5. 5.1, мягко говоря, не совсем актуальна (хотя основные вещи не поменялись).
Сотруднику с перечисленными правами достаточно в iManager в RBS настроить роль и объяснить, как им пользоваться. С правами на файловую систему можно доиграться до "ааааа, все пропало" - учитывая, что знания у Вас, как таковые, скорее отсутствуют, чем наоборот. Самая распространенная проблема для админов-новичков, занимающихся самообразованием "время от времени по необходимости" - утечка прав. Ну или полное отсутствие прав в том месте, где они должны быть.