Не могу дойти, как папки разделить

Обсуждение технических вопросов по продуктам Novell

Не могу дойти, как папки разделить

Сообщение Andrey Lutsenko » 07 июн 2002, 07:14

Подскажите, как сделать, чтобы одни папки были видны одним пользователям, а другим были бы не видны?
Где-то застопорился и не могу понять, что и где указать...
Andrey Lutsenko
 

Сообщение Владимир Никитин » 07 июн 2002, 07:27

Раздать правильно права.
Например есть папка А в ней В и С если дать пользоватлю права только на В он ее и увидит. Увидит и А (в зависимости от того как идет map). Но если дать права на А, то и В и С унаследуют их. Если только не применить фильтр наследования.
Аватара пользователя
Владимир Никитин
 
Сообщения: 445
Зарегистрирован: 05 июн 2002, 07:38
Откуда: Ростов-на-Дону

Сообщение Гость » 07 июн 2002, 07:37

Блин...
Есть общая папка, Common. В ней папка New Requests.
Эту папку должны видеть все. В ней есть другие папки, вот их и надо разделить...
К примеру, кликаю на For send - Details-Trusstees...-Add Trustee.
Добавляю пользователя, снимаю ему все галовчки, т.е. supervisor, read, write etc сняты. Остается только серая галочка на Inheritance filter - supervisor.
Вроде все так, но юзер все равно видит папку for send.
Что я неправильно делаю?
Гость
 

Сообщение Владимир Никитин » 07 июн 2002, 08:06

Итак структура Common->New Requests->For send

На New Requests даеш права всем или например контейнеру. А на все нижележащие нужно навесить фильтр наследования прав. Фильтр навешивается не указанием конкретного пользователя и убиранием галочек, а по другому. Например через проводник по через контекстное меню на указанной папке выбираешь пунк Наследуемые права и фильтры... Там снизу указано наследование. По умелчанию оно включено. Вот его и выключаеш. Т.е. права с New Requests не будут наследоваться на For send. Далее выбираеш папку For send и даешь явно права тем, кому нужно.

P.S. Нельза права отнять у конкретного пользователя. Можно отнять их у всех и дать избранным.
Аватара пользователя
Владимир Никитин
 
Сообщения: 445
Зарегистрирован: 05 июн 2002, 07:38
Откуда: Ростов-на-Дону

Сообщение Андрей Тр. aka RH » 18 июн 2002, 13:36

P.S. Нельза права отнять у конкретного пользователя. Можно отнять их у всех и дать избранным.

Утверждение несколько спорное ( хотя если в контексте про IRF - то верное, конечно ! ). Права у конкретных пользователей отнимаются, как известно, назначением их trustee с нулевыми правами на требуемый каталог.

Если таковой уже назначен, а эффективные права все-равно другие, то откуда-то протекает .. следует для начала проверить назначения прав для контейнеров, групп и пр., в которые оный юзер входит.

Совет из опыта - без очень большой необходимости не пользуйтесь фильтрами прав, почти все можно сделать и без них, но их добавление сильно усложняет картину.
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение Владимир Никитин » 18 июн 2002, 13:51

Можно подробнее ?
1. Как назначить "trustee с нулевыми правами на требуемый каталог"
2. Если человек в группе, группа имеет права на 10 каталогов. Как можно отнять права у конкретного пользователя на конкретный каталог. Это к почти все можно сделать и без них
Аватара пользователя
Владимир Никитин
 
Сообщения: 445
Зарегистрирован: 05 июн 2002, 07:38
Откуда: Ростов-на-Дону

IRF - вещь нужная, бывает, что без неё не выкрутиться...

Сообщение Сергей Дубров » 18 июн 2002, 14:22

Владимир Никитин писал(а):Можно подробнее ?
1. Как назначить "trustee с нулевыми правами на требуемый каталог"


Лехко:

rights dir n /name=.cn.ou.o

После чего по rights dir /t у юзера будет виден пустой список trustees и он, соответственно, начиная с dir, будет "обесправлен" вниз по подкаталогам. Если, конечно, не получает права за счёт членства в какой-нибудь группе и/или за счёт security equivalence (как листовой объект контейнера, имеющего права на dir).

Владимир Никитин писал(а):2. Если человек в группе, группа имеет права на 10 каталогов. Как можно отнять права у конкретного пользователя на конкретный каталог. Это к почти все можно сделать и без них


А вот здесь да, без IRF обойтись очень сложно (если не перепахивать членство в группах): IRF + персональное назначение прав на каталог всем членам группы минус "обделяемый" пользователь. :) Всё-таки иногда у NW не хватает права deny, как в виндах на NTFS-е (хотя и там с ним не всё слава богу)
Аватара пользователя
Сергей Дубров
 
Сообщения: 2096
Зарегистрирован: 05 июн 2002, 06:07
Откуда: Новосибирск, ин-т ядерной физики СО РАН

Сообщение Владимир Никитин » 18 июн 2002, 16:00

Разобрался :)
2 вопрос я вообще неверно поставил :( Там и ответ проще: Нужно отменить права на каталог у группы, и отдать всем кроме кастрируемого. :oops:

И все-же IRF дают большую свободу. Они практически гарантируют отсутствие наследования вне зависимости от того как были получены права на вышестоящий каталог.
Пример: 5 групп и 100 пользователей могут иметь права на папку PUBLIC, а вот на PRIVATE находящийся в нем только конкретно указанные пользователи.
Аватара пользователя
Владимир Никитин
 
Сообщения: 445
Зарегистрирован: 05 июн 2002, 07:38
Откуда: Ростов-на-Дону

Сообщение Андрей Тр. aka RH » 18 июн 2002, 17:13

2. Если человек в группе, группа имеет права на 10 каталогов. Как можно отнять права у конкретного пользователя на конкретный каталог.


Господа, я вас не понимаю. У группы -RW----- на DIR1, к примеру. User1 член группы. Ну так дай конкретно ему права -------- на этот DIR1 и живи спокойно. Его эффективные права ( сумма всех ) на DIR1 будут ноль. Или я чего-то не так понимаю в вопросе-2 ??

Главная проблема с IRF : стоит его поставить, как рушится все, что ты там сверху выстроил ( назначения прав контейнерам, группам и юзерам на разных уровнях ФС, все наследуемые права - все через IRF ). В результате приходится воссоздавать бОльшую часть этой структуры на нижележащих уровнях. Редко когда удается поставить удачных IRF - кому-то надо, чтобы оставалось только R, кому-то подавай еще и WCМ, а кому-то и А. Бывают, конечно, случаи, когда с ним проще .. но мне практически всегда удавалось выкрутиться без особых проблем. Да, а вот право Deny NT-шное мне как-то не понравилось :( Видать, не прочувствовал ( пока еще ? ).

Это я не как истину в последней инстанции подаю ! :) Чем оно все хорошо - что есть многообразие.

Насчет утилиты rights - хороша, сам ею пользуюсь в bat-файлах. Но NWAdmin и пр. все же нагляднее .. плюс, ИМХО, rights работает только с именами формата 8.3 :wink:
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение Владимир Никитин » 18 июн 2002, 17:41

Нечестно. 2 вопрос я снял :?
Простой пример. Создаемкаталог AAA, Пользователь TEST член группы GROUP. Даем все права на AAA группе, и пустые пользователю TEST. Эффективные права к сожалению будут унаследованны от группы. А пустые проигнорированны.
Аватара пользователя
Владимир Никитин
 
Сообщения: 445
Зарегистрирован: 05 июн 2002, 07:38
Откуда: Ростов-на-Дону

Путаемся в азах - security equal to...

Сообщение Сергей Дубров » 19 июн 2002, 06:29

Андрей Тр. aka RH писал(а):Господа, я вас не понимаю. У группы -RW----- на DIR1, к примеру. User1 член группы. Ну так дай конкретно ему права -------- на этот DIR1 и живи спокойно. Его эффективные права ( сумма всех ) на DIR1 будут ноль. Или я чего-то не так понимаю в вопросе-2 ??


Ничего подобного - User1 будет иметь те же RW, поскольку он (как член группы) Security Equal To группа.

Андрей Тр. aka RH писал(а):Насчет утилиты rights - хороша, сам ею пользуюсь в bat-файлах. Но NWAdmin и пр. все же нагляднее .. плюс, ИМХО, rights работает только с именами формата 8.3 :wink:


Так я rights привёл исключительно для примера, графическую картинку, выдранную из nwadmin-а и/или из explorer-а (по правой кнопке), засылать сюда я счёл излишним :lol: . А в командных файлах, для преодоления ограничения 8.3, я пользую SETTRUST из утилит им. John Baird (JRBSoftware):

Settrust-W32 v1.43: Sets and displays trustee assignments and inherited rights filters, and displays objects' rights to files and directories
Аватара пользователя
Сергей Дубров
 
Сообщения: 2096
Зарегистрирован: 05 июн 2002, 06:07
Откуда: Новосибирск, ин-т ядерной физики СО РАН

Re: Путаемся в азах

Сообщение Андрей Тр. aka RH » 19 июн 2002, 08:34

:shock: Не, ну конечно :) А я что сказал - что назначение trustee отменяет прочие ( группы, контейнера ) ?? Ужас какой .. позор на мои седины ! Наверное, просто перепил .. :cry:

Я перепутал с ситуацией с \Public\Private, когда на Public выданы права группе, а к Private надо запретить доступ для конкретного пользователя.

Посыпая голову и пр. пеплом, все же скромно берусь утверждать, что нетипичной является ситуация, когда в одной и той же точке файловой системы требуется назначение различных прав группе и члену этой самой группы. Если структура ФС и Дерево / группы продуманы, то такой необходимости возникать не должно. Ведь планирование обычно ведется "от общего к частному". Отнимать / выдавать права на нижних этажах каким-то членам группы - дело обычное, и, как ни крути, IRF напоминает мне этакий топорик ..

* под "группой" в данном случае подразумеваются и неявные группы - контейнеры

А JRB - это хорошо, конечно ! Хотя в наше время многих не прельщает перспектива работать с утилитами командной строки :cry: а зря.[/b]
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение Владимир Никитин » 19 июн 2002, 08:45

Так как я понимаю все таки в ситуации \Public\Private, когда группе даны права на Public отнять их у пользователя установкой пустых на Private нельзя :( Только IRF :)

Использование пустых прав возможно только если пользователю даны права на Public, но хочется его-же ограничить на Private
Аватара пользователя
Владимир Никитин
 
Сообщения: 445
Зарегистрирован: 05 июн 2002, 07:38
Откуда: Ростов-на-Дону

Сообщение Лукашенко Константин » 19 июн 2002, 10:15

Вопрос почти в тему:
На сервере есть папка, в ней определенная программа, нужно сделать так, чтобы единовременно мог запустить прогу только один юзер из группы разрешенных пользователей. Можно ли сделать какой-нибудь bat-файл, который закроет папку от всех юзеров из группы пока запущена программа или если не bat-файл, то как еще?
Еще вопрос: что за утилиты rights и SETTRUST, где взять и как пользоваться?
Лукашенко Константин
 
Сообщения: 134
Зарегистрирован: 18 июн 2002, 07:19

Сообщение Владимир Никитин » 19 июн 2002, 10:36

Если программа ваша, то можете ее подправить. Например чтобы запускалась при отсутствии ключегого файла. Если нет, то можно запуск через BAT файл организовать подобно. А вот средствами OS :?

Про SETTRUST Серей Дубров написал. Я имею в виду происхождение. А RIGHTS живет в sys\public занимается назначением прав и просмотром их. RIGHTS /?
Аватара пользователя
Владимир Никитин
 
Сообщения: 445
Зарегистрирован: 05 июн 2002, 07:38
Откуда: Ростов-на-Дону

След.

Вернуться в Novell

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 14

cron