доступ по-владельцу

[Орлов Алексей]

Коллеги добрый вечер, али день. Вобщем кому как удобно. Сегодня подкинули задачку и честно говоря как-то сел я с ней в засаду. Вобщем что нужно:
есть папка, есть несколько пользователей. 2 пользователям нужно иметь полный доступ к этой папке, это не вопрос, а вот дальше.
Остальные могут видеть все что есть в этой папке (идеал, что бы не видели), а вот изменять чужие файлы не могли, только свои. Ну представьте Вася закачал туда несколько своих файлов, владелец у них Вася (соответсвенно) Петя залил свои, мне нужно чтобы Петя мог править только свои файлы и не мог править Васины. Как решить эту задачу? Папка под каждого пользователя не очень устраивает. Говорят в винде можно решить эту проблему. Заранее спасибо за советы.

[Андрей Фисенко]

Сдается мне, что средствами самой ОС этого не реализовать.
Тут фенька какая, чтобы иметь возможность записать файл в папку, надо иметь права на эту папку, которые наследуются и на создаваемый файл.
По другому никак.
Если на момент создания файла, юзверю дать нужные права на каталог (или открыть IRF), а потом отобрать (закрыть IRF) и дать нужные права только на созданные фыйлы - все будет в шоколаде.
В одной и той-те папке разные юзвери будут видеть разный набор файлов.

В поставленной задаче смущает один нюанс (сразу анекдот про Чапаева вспоминается :D ) - те два человека, которые имеют полные права на каталог, имеют их там для чего? Если им придет в голову открыть файлы [документов] вордом, то вы можете потерять owner-а. :)

Гораздо интереснее, все-таки организовать каждому по каталогу - пусть его и видят. Да и сразу будет видно, чей файл.

[Орлов Алексей]

Андрей спасибо за ответ. Про

Если им придет в голову открыть файлы [документов] вордом,

проверил, владелец не меняется. В windows есть такой пользователь как влделец-создатель, вот им можно выставить права как раз для того чтобы разрешить делать все что угодно со своими файлами, а не с чужими.

[Сергей Дубров]

Андрей спасибо за ответ. Про

Если им придет в голову открыть файлы [документов] вордом,

проверил, владелец не меняется. В windows есть такой пользователь как влделец-создатель, вот им можно выставить права как раз для того чтобы разрешить делать все что угодно со своими файлами, а не с чужими.

Да, в этом смысле в NW аналог создателя-владельца, которому можно назначить права, отсутствует, к сожалению. Могу назвать ещё две ситуации, которые легко решаются виндовыми назначениями прав и не решаются (или решаются через задницу) в случае NW:

1. Есть группа, которой назначены права на некоторые файловые ресурсы (много). Есть человек, входящий в эту группу. Если требуется, чтобы этот человек имел доступ ко всем ресурсам, к которым имеет доступ эта группа, НО КРОМЕ ОДНОГО, в новеловском случае задача решается только удалением пользователя из группы и назначением ему прав индивидуально, т.к. будучи членом группы, он получит все её права по security equivalence. Более тяжёлый случай - если права даны не группе, а OU, в котором расположен этот юзер - он будет иметь все права OU, пока не будет оттуда удалён (та же security equivalence). В виндовом варианте есть способ перекрыть доступ индивидуально - DENY ACCESS для юзера.

2. "Остановка" наследования (это я так называю). Ситуация - есть базовая директория (пусть BASE), в которой всем (или определённой группе) необходимо разрешить создание директорий с одновременным запретом доступа к "чужим" директориям. Новеловскими штатными способами, без привлечения сторонних средств задача не решается - если у меня есть право [Create], оно автоматом пронаследуется ниже и вся группа будет имет возможность создавать новые файлы/каталоги в любой "чужой" директории. Перекрывать доступ с помощью IRF на уровне свежесозданной директории с одновременным назначением трастов для владельца? Да, это можно, но это ручная работа.

В венде же это решается на раз: на директории BASE ставим запрет наследования прав плюс даём полные права создателю-владельцу на новые директории. Имеем: создать директорию юзер может (для BASE это разрешено) + он получает на неё полные права (как создатель-владелец), а вот "чужой" в его директории уже ничего сделать не сможет - наследование прав остановлено "на этаж" выше. Без ручного вмешательства.

Второй случай вытекает из способа винды, каким она расставляет права по дереву каталогов - она имитирует наследование СТАТИЧЕСКИМ прописыванием прав на каждом уровне. Новел может долго издеваться на этим и доказывать, что чистая динамика и вычисление эффективных прав "на лету" а-ля NW - это круто, но со статическим прописыванием, эмулирующим наследование, фокус с остановкой наследуемых прав проходит, а с динамикой, как в NW - нет. Грубо говоря, запретив [C] на уровне BASE, мы не сможем вообще создать файлы/каталоги, разрешим - получим возможность создавать файлы/директории и в своих и в "чужих" подкаталогах...

[Орлов Алексей]

Отлично написано Сергей. Вопросов и коментариев больше нет!