proNovell

При добавлении пользователя в какую-либо группу он не наследует права группы на папки и файлы, однако при назначении этому пользователю прав на нужные папки и файлы, проблем нет. Подскажите, пожалуйста, где грабли.

T_Serge писал(а):При добавлении пользователя в какую-либо группу он не наследует права группы на папки и файлы, однако при назначении этому пользователю прав на нужные папки и файлы, проблем нет. Подскажите, пожалуйста, где грабли.

Проверьте появляются ли права после logout/login .

Если да то это это так задумано by design (группа это асинхронный объект и вреден как оператор goto в структурном программировании

[объект] группа .... вреден как оператор goto в структурном программировании

А чуть подробнее и более аргументированно можно?

Музалёв Николай писал(а):

[объект] группа .... вреден как оператор goto в структурном программировании

А чуть подробнее и более аргументированно можно?

Если права раздаются на контейнер или пользователя то в NDS возможно повесить обработчик евента и права отобразятся немедленно.

Группа это асинхронный обьект и не может быть обработана немедленно.
Или при логине или если существует щедулед таскс.

ACLCHECK бордюра даже имел параметры раз в сколько минут сканировать принадлежность к группам.

В общем надо пореже использовать это дело (хотя иногда с группами проще).

Может быть в новых версиях DS все по другому но во времена NW6 все было именно так.

Музалёв Николай писал(а):

[объект] группа .... вреден как оператор goto в структурном программировании

А чуть подробнее и более аргументированно можно?

С 6-ой версии NW добавление пользователя в группу не приводит к немедленному наследованию прав от группы ("на-лету") - видимо, слишком много проверок приходится делать при проверке доступа к ресурсу. Поэтому - logoff/logon - и вы эквивалентны по безопасности тем группам, в которые вас включили (на момент логона).

Кстати, в венде так всегда было - в токене (маркере) безопасности, который юзер получает при входе в сеть, перечислены SID-ы всех групп, в которых он состоит, поэтому добавление/удаление этого юзера в/из группу/группы в момент, когда он залогинен, естественно, не меняет этого самого токена - в нём остаются SID-ы, полученные в момент логона. Для получения нового маркера нужно либо сделать тот самый logoff/logon либо дождаться, когда он "состарится" и переполучится автоматом (по умолчанию - семь суток ).

Проверьте появляются ли права после logout/login .

Если да то это это так задумано by design (группа это асинхронный объект и вреден как оператор goto в структурном программировании [/quote]


Да, так и есть, при перелогировании права появились! Спасибо за подсказку!