Страница 1 из 2

Как разрулить права: задачка...

СообщениеДобавлено: 27 окт 2004, 12:40
Саян
Ситуация следующая, на первый взгляд тривиальная.
Обекту Контейнер предоставлены права на одну из папок в корне тома сервера (хотя это не важно, может быть любая папка или файл), соответственно все пользователи в этом контейнере и подчинённых контейнерах наследуют эти права.

Вопрос.
Как всех проще заблокировать права на эту папку одному, какому-либо конкретно пользователю в этом контейнере? Возможно ли это сделать фильтром наследования прав, если да, то как?

Чего то как ни пробовали, неполучается, и кроме варианта создания группы пользователей и исключения этого пользователя из неё, ничего более простого на ум не приходит, а хотелось бы.

СообщениеДобавлено: 27 окт 2004, 15:06
Влад А.Сокол aka Akina
Прямое назначение прав отменяет наследованное.

СообщениеДобавлено: 27 окт 2004, 15:12
Андрей Тр. aka RH
ИМХО как-то "легко" это сделать нельзя - контейнер, по сути, это неявная группа ( членство в ней есть размещение объектов в этом контейнере ), поэтому и права на файловую систему наследуются для содержимого ( т.е. для всех пользователей, в данном случае ). Это как если бы вы создали группу, назначили ее членов и дали ей права на файл, а потом сказали - а вот этому члену группы я хочу эти самые права как-то заблокировать.

Варианты - либо, как уже сказано, раздавать нужные права через группу, в которую входят лишь те пользователи, которым эти права нужны, либо исключать ненужного из "группы"-контейнера ( переместить его в другое место ). А так чтобы назначить Deny этому одному, которое бы перекрывало остальные, полученные от контейнера .. это ИМХО не выйдет.

СообщениеДобавлено: 27 окт 2004, 15:40
PavelKHTW
Андрей Тр. aka RH писал(а): А так чтобы назначить Deny этому одному, которое бы перекрывало остальные, полученные от контейнера .. это ИМХО не выйдет.

- Так ведь и не выйдет - понятие что либо запретить в NW нет, естественно и отменить наследование прав на том же уровне где были даны права...

СообщениеДобавлено: 28 окт 2004, 08:22
Саян
Спасибо всем откликнувшимся и в особенности Андрей Тр. aka RH за развёрнутый ответ.
Вообщем мои предположения оправдались, значит нельзя. Ну что ж, отрицательный результат, как говорится - это тоже результат.

Re: Как разрулить права: задачка...

СообщениеДобавлено: 28 окт 2004, 09:10
Андрей Тр. aka RH
Саян писал(а):Обекту Контейнер предоставлены права на одну из папок в корне тома сервера (хотя это не важно, может быть любая папка или файл)
Как бы важно - если это именно файл, то проблема решается прямым назначением прав на него этому самому пользователю, как уже заметили. С папкой - точнее, с ее содержимым - все сложнее.

СообщениеДобавлено: 28 окт 2004, 09:35
Саян
to Андрей Тр. aka RH

Хорошо, понятно. Спасибо за разъяснение. В моём случае именно папка с её содержимым.

Re: Как разрулить права: задачка...

СообщениеДобавлено: 28 окт 2004, 10:04
Сергей ака godless
Андрей Тр. aka RH писал(а):
Саян писал(а):Обекту Контейнер предоставлены права на одну из папок в корне тома сервера (хотя это не важно, может быть любая папка или файл)
Как бы важно - если это именно файл, то проблема решается прямым назначением прав на нему этому самому пользователю, как уже заметили. С папкой - точнее, с ее содержимым - все сложнее.


А почему с папкой то сложнее вместе с содержимым ?? В иерархии вроде права прямого назначения на нижний уровень перекрывают права верхнего уровня ... То есть права назначенные на папку впрямую должны наследоваться и содержимым папки ... Или по вашему выходит что на саму папку прямым назначением права уменьшены, а войдя в папку они снова как в корне например ??

Re: Как разрулить права: задачка...

СообщениеДобавлено: 28 окт 2004, 12:02
PavelKHTW
Сергей ака godless писал(а):А почему с папкой то сложнее вместе с содержимым ?? В иерархии вроде права прямого назначения на нижний уровень перекрывают права верхнего уровня ... То есть права назначенные на папку впрямую должны наследоваться и содержимым папки ... Или по вашему выходит что на саму папку прямым назначением права уменьшены, а войдя в папку они снова как в корне например ??

Да потому, что пользователь получил права на папку через OU(или группу), и тут же ты у него хочешь отобрать права отменой НАСЛЕДОВАНИЯ(запрета доступа у NW ведь нет).

СообщениеДобавлено: 28 окт 2004, 12:52
Влад А.Сокол aka Akina
Неясно, насколько критично расположение папки в корне.

если нет - переместить ее в папку (она станет подпапкой), контейнеру дать права на папку первого уровня, юзеру отрубить права на втором уровне - непосредственно на подпапке.

Re: Как разрулить права: задачка...

СообщениеДобавлено: 28 окт 2004, 13:01
Сергей ака godless
PavelKHTW писал(а): Да потому, что пользователь получил права на папку через OU(или группу), и тут же ты у него хочешь отобрать права отменой НАСЛЕДОВАНИЯ(запрета доступа у NW ведь нет).


Секунду, я отменяю право наследования прав высшего уровня, тем что я переназначаю права на папку, но само наследование прав никуда не денется, только сдвигается на уровень явно заданный, так ??

Счас проверил, получается так по крайней мере .... В подкаталоге второго уровня эффективные права на файлы равны явно заданным на каталоге первого уровня для данного юзера ...

СообщениеДобавлено: 28 окт 2004, 13:34
Константин Ошмян
Akina писал(а):переместить ее в папку (она станет подпапкой), контейнеру дать права на папку первого уровня, юзеру отрубить права на втором уровне - непосредственно на подпапке.
Влад, ты ничего не путаешь? :roll: Из контейнера-то пользователь не убирается, соответственно, права, данные контейнеру, будут и у пользователя (как их "отрубить"-то :?: ). И они будут лишь складываться с теми правами, которые даны самому пользователю, а также каждой из групп, в которые он входит.

СообщениеДобавлено: 28 окт 2004, 13:41
Сергей ака godless
Константин Ошмян писал(а):
Akina писал(а):переместить ее в папку (она станет подпапкой), контейнеру дать права на папку первого уровня, юзеру отрубить права на втором уровне - непосредственно на подпапке.
Влад, ты ничего не путаешь? :roll: Из контейнера-то пользователь не убирается, соответственно, права, данные контейнеру, будут и у пользователя (как их "отрубить"-то :?: ). И они будут лишь складываться с теми правами, которые даны самому пользователю, а также каждой из групп, в которые он входит.


Рискну встрять, права прямого назначения блокируют права назначенные контейнером либо группой, то есть на папку будут эффективны лишь права заданные явно на неё ... Ну и на всё в неё входящее соответственно ...

Re: Как разрулить права: задачка...

СообщениеДобавлено: 28 окт 2004, 13:49
PavelKHTW
Сергей ака godless писал(а):Секунду, я отменяю право наследования прав высшего уровня, тем что я переназначаю права на папку, но само наследование прав никуда не денется, только сдвигается на уровень явно заданный, так ??

- с чего бы
я отменяю право наследования прав высшего уровня, тем что я переназначаю права на папку
так происходило?
В Netware (насколько мне известно) понятие запретить что либо нет. Поэтому такого как в WIN получить нельзя(пользователь через одну группу получает разрешение, через другую запрет=запрет). Наследованием можно убрать права полученные от родительского объекта --> убрать доступ можно только к вложенному каталогу отменой наследования - в книжке которую переводил Павел Гарбар все замечательно расписано :)

СообщениеДобавлено: 28 окт 2004, 13:52
PavelKHTW
Сергей ака godless писал(а):Рискну встрять, права прямого назначения блокируют права назначенные контейнером либо группой, то есть на папку будут эффективны лишь права заданные явно на неё ... Ну и на всё в неё входящее соответственно ...

- так ведь не правильно, права суммируются, и запретить суммирование можно только воспользовавшись отменой наследования определенных прав.