Как разрулить права: задачка...

Обсуждение технических вопросов по продуктам Novell

Сообщение Сергей ака godless » 28 окт 2004, 14:05

PavelKHTW писал(а): - так ведь не правильно, права суммируются, и запретить суммирование можно только воспользовавшись отменой наследования определенных прав.


Хорошо, давайте сначала.
Есть структура dir -> subdir1 ->subdir2 -> file и tree -> org -> user.
контейнеру org даны права RWEF на subdir1. Пользователь user находиться в данном контейнере org. То есть на всю структуру начиная с subdir1 он имеет еффективные права RWEF, в том числе и на объект file. Теперь на subdir2 в прямую назначаем права для user как CM. Вопрос, какие права будет иметь user на объект file по вашим раскладкам ??
По моим раскладкам права будут CM.
"И да будет так ..." - как говаривал король Артур ...
Аватара пользователя
Сергей ака godless
 
Сообщения: 559
Зарегистрирован: 17 сен 2003, 15:38
Откуда: Moscow

Re: Как разрулить права: задачка...

Сообщение Андрей Тр. aka RH » 28 окт 2004, 14:09

Сергей ака godless писал(а):Счас проверил, получается так по крайней мере .... В подкаталоге второго уровня эффективные права на файлы равны явно заданным на каталоге первого уровня для данного юзера ...
Как-то не так проверил - проверь еще раз. При вычислении эффективных прав складываются права, протекающие ото всех назначений выше по дереву ф/с .. плюс встречающиеся по пути фильтры ( IRF ). Т.е. надо их все проследить до требуемой точки ( от OU, групп и пользователя ) и в ней их сложить. Разумеется, если ты только этому пользователю назначил RWCEMF на sys:\1\ и ему же RF на sys:\1\2, то на sys:\1\2\3 у него будет RF ( прямые права отменяют наследуемые ). Но если RWCEMF на sys:\1\ было назначено OU, где он находится, то .. это же он получит и на \3.
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Re: Как разрулить права: задачка...

Сообщение Сергей ака godless » 28 окт 2004, 14:12

PavelKHTW писал(а):
Сергей ака godless писал(а):Секунду, я отменяю право наследования прав высшего уровня, тем что я переназначаю права на папку, но само наследование прав никуда не денется, только сдвигается на уровень явно заданный, так ??

- с чего бы
я отменяю право наследования прав высшего уровня, тем что я переназначаю права на папку
так происходило?
В Netware (насколько мне известно) понятие запретить что либо нет. Поэтому такого как в WIN получить нельзя(пользователь через одну группу получает разрешение, через другую запрет=запрет). Наследованием можно убрать права полученные от родительского объекта --> убрать доступ можно только к вложенному каталогу отменой наследования - в книжке которую переводил Павел Гарбар все замечательно расписано :)


1. С того что у впрямую назначенных прав на папку/файл приоритет выше.
2. Ну так дабы не быть голословным давайте у него спросим, коли он переводил.

У меня эти знания например из курса Novell 3001 Foundation of Novell NetWorking. И я специально счас проводил эксперимент чтоб их проверить ...
"И да будет так ..." - как говаривал король Артур ...
Аватара пользователя
Сергей ака godless
 
Сообщения: 559
Зарегистрирован: 17 сен 2003, 15:38
Откуда: Moscow

Сообщение PavelKHTW » 28 окт 2004, 14:14

Сергей ака godless писал(а):Хорошо, давайте сначала.
Есть структура dir -> subdir1 ->subdir2 -> file и tree -> org -> user.
контейнеру org даны права RWEF на subdir1. Пользователь user находиться в данном контейнере org. То есть на всю структуру начиная с subdir1 он имеет еффективные права RWEF, в том числе и на объект file. Теперь на subdir2 в прямую назначаем права для user как CM. Вопрос, какие права будет иметь user на объект file по вашим раскладкам ??
По моим раскладкам права будут CM.

- А по раскладкам реального эксперимента - RWEF - причем то же показывает и NWADMIN и окно свойств в Explorer-е Windows - практика подтвердила теорию
PavelKHTW
 
Сообщения: 1037
Зарегистрирован: 08 окт 2003, 13:02
Откуда: Украина

Re: Как разрулить права: задачка...

Сообщение PavelKHTW » 28 окт 2004, 14:19

Сергей ака godless писал(а):1. С того что у впрямую назначенных прав на папку/файл приоритет выше.
2. Ну так дабы не быть голословным давайте у него спросим, коли он переводил.

У меня эти знания например из курса Novell 3001 Foundation of Novell NetWorking. И я специально счас проводил эксперимент чтоб их проверить ...

- Я никаких курсов Novell не слушал(но не моя в этом вина) и скорее всего мы друг друга не поняли - но ведь удаляется файлик вложенный в папку второго уровня, хотя права на эту папку только RO, да и еффективные права пишет в сумме :)
PavelKHTW
 
Сообщения: 1037
Зарегистрирован: 08 окт 2003, 13:02
Откуда: Украина

Сообщение Константин Ошмян » 28 окт 2004, 14:28

Сергей ака godless писал(а):Есть структура dir -> subdir1 ->subdir2 -> file и tree -> org -> user.
контейнеру org даны права RWEF на subdir1. Пользователь user находиться в данном контейнере org. То есть на всю структуру начиная с subdir1 он имеет еффективные права RWEF, в том числе и на объект file. Теперь на subdir2 в прямую назначаем права для user как CM. Вопрос, какие права будет иметь user на объект file по вашим раскладкам ??
По моим раскладкам права будут CM.
Раскладки неверные. :) Права будут [RWEFCM], как уже совершенно правильно ответил Андрей Тр. aka RH: будут складываться права, назначенные пользователю лично, а также группам и контейнерам, в которые он входит. Другое дело, если бы на subdir1 были назначены права тому же самому субъекту, что и на subdir2 (пользователю, группе, контейнеру): тогда да, на уровне subdir2 они бы отменяли права, назначенные ему же на уровне subdir1.
Аватара пользователя
Константин Ошмян
 
Сообщения: 991
Зарегистрирован: 13 авг 2002, 21:36
Откуда: Рига

Сообщение PavelKHTW » 28 окт 2004, 14:34

Константин Ошмян писал(а):Другое дело, если бы на subdir1 были назначены права тому же самому субъекту, что и на subdir2 (пользователю, группе, контейнеру): тогда да, на уровне subdir2 они бы отменяли права, назначенные ему же на уровне subdir1.

- Сразу видно человек слушал курсы Novell :) - теория совпадает с практикой
PavelKHTW
 
Сообщения: 1037
Зарегистрирован: 08 окт 2003, 13:02
Откуда: Украина

Сообщение Сергей ака godless » 28 окт 2004, 14:36

PavelKHTW писал(а):
Сергей ака godless писал(а):Хорошо, давайте сначала.
Есть структура dir -> subdir1 ->subdir2 -> file и tree -> org -> user.
контейнеру org даны права RWEF на subdir1. Пользователь user находиться в данном контейнере org. То есть на всю структуру начиная с subdir1 он имеет еффективные права RWEF, в том числе и на объект file. Теперь на subdir2 в прямую назначаем права для user как CM. Вопрос, какие права будет иметь user на объект file по вашим раскладкам ??
По моим раскладкам права будут CM.

- А по раскладкам реального эксперимента - RWEF - причем то же показывает и NWADMIN и окно свойств в Explorer-е Windows - практика подтвердила теорию


Хм ... Тогда должно получиться ещё веселее, права должны быть RWCEMF ... От прямого назначения они тоже ведь должны наследоваться, разве нет ?? И сложить с тем что назначено контейнером ... Где ошибка ??
"И да будет так ..." - как говаривал король Артур ...
Аватара пользователя
Сергей ака godless
 
Сообщения: 559
Зарегистрирован: 17 сен 2003, 15:38
Откуда: Moscow

Сообщение Андрей Тр. aka RH » 28 окт 2004, 14:38

Короче, по теме .. ИМХО есть частные случаи, когда можно найти более-менее приемлемое решение. Но ( ИМХО опять же ) стоит бороться не со следствием, а с причиной - т.е. созданием явной группы пользователей, которой нужны права на требуемый ресурс ( т.е. содержимое упомянутой папки, будь она в корне или нет ). Надо не раздавать на нее права через OU, а создать группу, членами которой сделать нужных пользователей и назначить этой группе права на папку. Бонус - пользователи могут быть откуда угодно. При необходимости отнять права опять же элементарно. Не вижу убедительных причин так не поступить.

Я ж сознательно Deny упомянул - это вам не НТ ..
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение Сергей ака godless » 28 окт 2004, 14:40

2 Константин Ошмян, 2 Андрей Тр. aka RH, 2 PavelKHTW

Так, хорошо, у меня в тест закралась ошибка, пользователь имел назначение на каталог выше по уровню, посыпаю голову пеплом ... :oops: Не уследил ...

Ну так в задачке должно получиться всё таки RWCEMF?
"И да будет так ..." - как говаривал король Артур ...
Аватара пользователя
Сергей ака godless
 
Сообщения: 559
Зарегистрирован: 17 сен 2003, 15:38
Откуда: Moscow

Сообщение PavelKHTW » 28 окт 2004, 14:45

Сергей ака godless писал(а):Хм ... Тогда должно получиться ещё веселее, права должны быть RWCEMF ... От прямого назначения они тоже ведь должны наследоваться, разве нет ?? И сложить с тем что назначено контейнером ... Где ошибка ??

- ошибка в том что я когда отвечал копировал права из вашего вопроса :), естественно после суммирования RWCEMF
PavelKHTW
 
Сообщения: 1037
Зарегистрирован: 08 окт 2003, 13:02
Откуда: Украина

Пред.

Вернуться в Novell

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 55

cron