proNovell

Так как я понимаю все таки в ситуации \Public\Private, когда группе даны права на Public отнять их у пользователя установкой пустых на Private нельзя Только IRF

Я уж боюсь что-либо комментировать. Вот придут умные люди - объяснят нам азы. Хочу лишь заметить, что из "только IRF" следовало бы, что это - единственное средство отмены прав Что, конечно, не так - любое назначение trustee заменяет собой наследуемые сверху права. Ну а эффективные получаются сложением наследуемых и прямых назначений в данной точке ( в т.ч. секьюрити эквивалентных, как совершенно верно заметил Сергей Дубров ). Плюс не забыть IRF.

Насчет rights и bat-файла. У меня, к примеру, есть пользователи, у которых в \user есть спецкаталог \user\spec. Обычно \user мапится как Н: ( с RWCEMF ) и там они хранят свои файлы. При этом на \user\spec у них права отобраны назначением через "rights n", и они его не видят. Но изредка возникает необходимость дать им доступ как раз к \user\spec и выключить доступ к остальному содержимому \user( чтобы они не могли копировать из одного в другой ).

Есть два bat-файла, ON и OFF. В первом даются команды :

Код: Выделить всё

rights home:\user n /name=.user.ema
rights home:\user rwcemf /name=.user.ema

Во втором - наоборот, соответственно ( восстанавливаются изначальные права ) :

Код: Выделить всё

rights home:\user rwcemf /name=.user.ema
rights home:\user\spec n /name=.user.ema


Когда я писал только IRF, то это относилось к конкретному примеру с \Public\Private + Права через группу. Да можно обрубить права пользователя на каталог если эти права были даны выше по дереву каталогов ему-же. Можно и расширить права. Но если они даны через другие пути (Group, e.t.c.) то нет. И здесь только IRF

Допустим для того, чтобы никто более из группы юзеров не мог запустить программу (exe-шник), которая была написана не нами, запускаем программу из bat-файла, где сначала отключаем права на папку у всех остальных юзеров
(g:\public\rights h:\папка n /name=.отдел.подразделение.) Но как не отключить права у себя самого (т.е. юзера, запустившего программу), а то ж ведь и сам юзер перестанет видеть программу и она не запуститься. В общем: как отключить всех кроме себя (юзера)?

Довольно интересный подход

Можно попробовать их Батника сперва себе явно права дать на программу или даже лучше на каталог, и затем на каталог наложить IRF который всех остальных ограничит в доступе. После завершения программы, обратный процесс. Порядок действий я так понимаю важен. Т.е. сперва дать себе, затем отныть у других. Можно попытаться использовать переменную NWUSERNAME для самоидентификации. Да, пользователь должен иметь права на изменение прав

Так как я понимаю все таки в ситуации \Public\Private, когда группе даны права на Public отнять их у пользователя установкой пустых на Private нельзя Только IRF

Group сделана trustee каталога \Public с правами RF
User сделан trustee подкаталога \Public\Private с правами - ( пусто )
User - член Group

Вопрос : каковы эффективные права User на \Public\Private

Какие-то элементарные вещи мы тут обсуждаем .. аж страшно становится

Давай смотреть К сожадению лидирующие пробелы обрезаются, и вид немножко теряется

1. Группа TEST и в ней член MAINDEMON
f:\public\nlist group = test /d

Object Class: Group
Current context: GUTABANK
Name: test
Name: test
Object Trustees (ACL):
Subject: [Root]
Property: Member
Property Rights: [ R ]
Equivalent To Me: maildemon
Member: maildemon
Object Class: Group
Object Class: Top
Revision: 5
-------------------------------------------------------------------------------
One Group object was found in this context.
One Group object was found.

2. Права на Public Как видно только у группы.
f:\public\rights //guta/sys/test/public /t
GUTA\SYS:\TEST\PUBLIC
No user trustees have been assigned.
----------
Group trustees:
test.GUTABANK [ RWCEMF ]

3. Права на Private Как видно пустые у MAILDEMON
f:\public\rights //guta/sys/test/public/private /t

GUTA\SYS:\TEST\PUBLIC\PRIVATE
User trustees:
maildemon.GUTABANK [ ]
----------
No group trustees have been assigned.

4. Эффективные права
f:\public\rights //guta/sys/test/public/private /name=maildemon /i
Name= maildemon
Path Rights
-----------------------------------------------------------------------------
GUTA\SYS:\

Inherited Rights Filter: [ ]

Inherits from above: [ ]
----------
Effective Rights = [ ]
-----------------------------------------------------------------------------
GUTA\SYS:\TEST

Inherited Rights Filter: [SRWCEMFA]

Inherits from above: [ ]
----------
Effective Rights = [ ]
-----------------------------------------------------------------------------
GUTA\SYS:\TEST\PUBLIC

Inherited Rights Filter: [SRWCEMFA]

Inherits from above: [ ]
----------
Effective Rights = [ RWCEMF ]
-----------------------------------------------------------------------------
GUTA\SYS:\TEST\PUBLIC\PRIVATE

Inherited Rights Filter: [SRWCEMFA]

Inherits from above: [ RWCEMF ]
----------
Effective Rights = [ RWCEMF ]
-----------------------------------------------------------------------------

2Владимир Никитин

Убедил !! почти. Осталось [selfcensored] только выяснить, с чего это я [selfcensored] так решил [selfcensored] ?? И как это я тогда базовый тест сдал с 752/800 - не пойму