Страница 2 из 2

СообщениеДобавлено: 28 окт 2004, 14:05
Сергей ака godless
PavelKHTW писал(а): - так ведь не правильно, права суммируются, и запретить суммирование можно только воспользовавшись отменой наследования определенных прав.


Хорошо, давайте сначала.
Есть структура dir -> subdir1 ->subdir2 -> file и tree -> org -> user.
контейнеру org даны права RWEF на subdir1. Пользователь user находиться в данном контейнере org. То есть на всю структуру начиная с subdir1 он имеет еффективные права RWEF, в том числе и на объект file. Теперь на subdir2 в прямую назначаем права для user как CM. Вопрос, какие права будет иметь user на объект file по вашим раскладкам ??
По моим раскладкам права будут CM.

Re: Как разрулить права: задачка...

СообщениеДобавлено: 28 окт 2004, 14:09
Андрей Тр. aka RH
Сергей ака godless писал(а):Счас проверил, получается так по крайней мере .... В подкаталоге второго уровня эффективные права на файлы равны явно заданным на каталоге первого уровня для данного юзера ...
Как-то не так проверил - проверь еще раз. При вычислении эффективных прав складываются права, протекающие ото всех назначений выше по дереву ф/с .. плюс встречающиеся по пути фильтры ( IRF ). Т.е. надо их все проследить до требуемой точки ( от OU, групп и пользователя ) и в ней их сложить. Разумеется, если ты только этому пользователю назначил RWCEMF на sys:\1\ и ему же RF на sys:\1\2, то на sys:\1\2\3 у него будет RF ( прямые права отменяют наследуемые ). Но если RWCEMF на sys:\1\ было назначено OU, где он находится, то .. это же он получит и на \3.

Re: Как разрулить права: задачка...

СообщениеДобавлено: 28 окт 2004, 14:12
Сергей ака godless
PavelKHTW писал(а):
Сергей ака godless писал(а):Секунду, я отменяю право наследования прав высшего уровня, тем что я переназначаю права на папку, но само наследование прав никуда не денется, только сдвигается на уровень явно заданный, так ??

- с чего бы
я отменяю право наследования прав высшего уровня, тем что я переназначаю права на папку
так происходило?
В Netware (насколько мне известно) понятие запретить что либо нет. Поэтому такого как в WIN получить нельзя(пользователь через одну группу получает разрешение, через другую запрет=запрет). Наследованием можно убрать права полученные от родительского объекта --> убрать доступ можно только к вложенному каталогу отменой наследования - в книжке которую переводил Павел Гарбар все замечательно расписано :)


1. С того что у впрямую назначенных прав на папку/файл приоритет выше.
2. Ну так дабы не быть голословным давайте у него спросим, коли он переводил.

У меня эти знания например из курса Novell 3001 Foundation of Novell NetWorking. И я специально счас проводил эксперимент чтоб их проверить ...

СообщениеДобавлено: 28 окт 2004, 14:14
PavelKHTW
Сергей ака godless писал(а):Хорошо, давайте сначала.
Есть структура dir -> subdir1 ->subdir2 -> file и tree -> org -> user.
контейнеру org даны права RWEF на subdir1. Пользователь user находиться в данном контейнере org. То есть на всю структуру начиная с subdir1 он имеет еффективные права RWEF, в том числе и на объект file. Теперь на subdir2 в прямую назначаем права для user как CM. Вопрос, какие права будет иметь user на объект file по вашим раскладкам ??
По моим раскладкам права будут CM.

- А по раскладкам реального эксперимента - RWEF - причем то же показывает и NWADMIN и окно свойств в Explorer-е Windows - практика подтвердила теорию

Re: Как разрулить права: задачка...

СообщениеДобавлено: 28 окт 2004, 14:19
PavelKHTW
Сергей ака godless писал(а):1. С того что у впрямую назначенных прав на папку/файл приоритет выше.
2. Ну так дабы не быть голословным давайте у него спросим, коли он переводил.

У меня эти знания например из курса Novell 3001 Foundation of Novell NetWorking. И я специально счас проводил эксперимент чтоб их проверить ...

- Я никаких курсов Novell не слушал(но не моя в этом вина) и скорее всего мы друг друга не поняли - но ведь удаляется файлик вложенный в папку второго уровня, хотя права на эту папку только RO, да и еффективные права пишет в сумме :)

СообщениеДобавлено: 28 окт 2004, 14:28
Константин Ошмян
Сергей ака godless писал(а):Есть структура dir -> subdir1 ->subdir2 -> file и tree -> org -> user.
контейнеру org даны права RWEF на subdir1. Пользователь user находиться в данном контейнере org. То есть на всю структуру начиная с subdir1 он имеет еффективные права RWEF, в том числе и на объект file. Теперь на subdir2 в прямую назначаем права для user как CM. Вопрос, какие права будет иметь user на объект file по вашим раскладкам ??
По моим раскладкам права будут CM.
Раскладки неверные. :) Права будут [RWEFCM], как уже совершенно правильно ответил Андрей Тр. aka RH: будут складываться права, назначенные пользователю лично, а также группам и контейнерам, в которые он входит. Другое дело, если бы на subdir1 были назначены права тому же самому субъекту, что и на subdir2 (пользователю, группе, контейнеру): тогда да, на уровне subdir2 они бы отменяли права, назначенные ему же на уровне subdir1.

СообщениеДобавлено: 28 окт 2004, 14:34
PavelKHTW
Константин Ошмян писал(а):Другое дело, если бы на subdir1 были назначены права тому же самому субъекту, что и на subdir2 (пользователю, группе, контейнеру): тогда да, на уровне subdir2 они бы отменяли права, назначенные ему же на уровне subdir1.

- Сразу видно человек слушал курсы Novell :) - теория совпадает с практикой

СообщениеДобавлено: 28 окт 2004, 14:36
Сергей ака godless
PavelKHTW писал(а):
Сергей ака godless писал(а):Хорошо, давайте сначала.
Есть структура dir -> subdir1 ->subdir2 -> file и tree -> org -> user.
контейнеру org даны права RWEF на subdir1. Пользователь user находиться в данном контейнере org. То есть на всю структуру начиная с subdir1 он имеет еффективные права RWEF, в том числе и на объект file. Теперь на subdir2 в прямую назначаем права для user как CM. Вопрос, какие права будет иметь user на объект file по вашим раскладкам ??
По моим раскладкам права будут CM.

- А по раскладкам реального эксперимента - RWEF - причем то же показывает и NWADMIN и окно свойств в Explorer-е Windows - практика подтвердила теорию


Хм ... Тогда должно получиться ещё веселее, права должны быть RWCEMF ... От прямого назначения они тоже ведь должны наследоваться, разве нет ?? И сложить с тем что назначено контейнером ... Где ошибка ??

СообщениеДобавлено: 28 окт 2004, 14:38
Андрей Тр. aka RH
Короче, по теме .. ИМХО есть частные случаи, когда можно найти более-менее приемлемое решение. Но ( ИМХО опять же ) стоит бороться не со следствием, а с причиной - т.е. созданием явной группы пользователей, которой нужны права на требуемый ресурс ( т.е. содержимое упомянутой папки, будь она в корне или нет ). Надо не раздавать на нее права через OU, а создать группу, членами которой сделать нужных пользователей и назначить этой группе права на папку. Бонус - пользователи могут быть откуда угодно. При необходимости отнять права опять же элементарно. Не вижу убедительных причин так не поступить.

Я ж сознательно Deny упомянул - это вам не НТ ..

СообщениеДобавлено: 28 окт 2004, 14:40
Сергей ака godless
2 Константин Ошмян, 2 Андрей Тр. aka RH, 2 PavelKHTW

Так, хорошо, у меня в тест закралась ошибка, пользователь имел назначение на каталог выше по уровню, посыпаю голову пеплом ... :oops: Не уследил ...

Ну так в задачке должно получиться всё таки RWCEMF?

СообщениеДобавлено: 28 окт 2004, 14:45
PavelKHTW
Сергей ака godless писал(а):Хм ... Тогда должно получиться ещё веселее, права должны быть RWCEMF ... От прямого назначения они тоже ведь должны наследоваться, разве нет ?? И сложить с тем что назначено контейнером ... Где ошибка ??

- ошибка в том что я когда отвечал копировал права из вашего вопроса :), естественно после суммирования RWCEMF