मूल निर्देशिका तक पहुँच दिए बिना एक उपनिर्देशिका का उपयोग करें


12

मेरे पास एक विंडोज़ फ़ाइल सर्वर से जुड़ा एक परिदृश्य है जहाँ "मालिक" निम्नलिखित प्रकार के उपयोगकर्ताओं के समूह के लिए अनुमतियाँ बनाना चाहता है:

  • \\server\dir1\dir2\dir3: पढ़ो, लिखो और अमल करो
  • \\server\dir1\dir2: आज्ञा नहीं है
  • \\server\dir1: आज्ञा नहीं है
  • \\server: पढ़ें और निष्पादित करें

मेरी समझ में ( अपडेट : यह पूरा पैराग्राफ गलत है!), ऐसा करना संभव नहीं है क्योंकि ऑपरेटिंग सिस्टम के लिए बच्चे को "देखने" में सक्षम होने के लिए डायरेक्टरी चेन में सभी पेरेंट डायरेक्टरी को Read & Executeअनुमति दी जानी चाहिए। निर्देशिका और उन्हें करने के लिए मिलता है। इस अनुमति के बिना, आप नेस्टेड डायरेक्ट्री तक पहुँचने का प्रयास करते समय सुरक्षा संदर्भ टोकन भी प्राप्त नहीं कर सकते , भले ही आपके पास उपनिर्देशिका की पूरी पहुँच हो।

हम तरीके इस के आसपास पाने के लिए देख रहे हैं, से डेटा ले जाए बिना \\server\dir1\dir2\dir3करने के लिए \\server\dir4

एक वर्कअराउंड मैंने सोचा था, लेकिन मुझे यकीन नहीं है कि अगर यह काम करेगा, तो कुछ प्रकार के लिंक या जंक्शन बना रहा है \\server\dir4जो कि एक संदर्भ है \\server\dir1\dir2\dir3। मुझे यकीन है कि जो उपलब्ध विकल्प (यदि हो तो) की इस उद्देश्य के लिए काम करेंगे, तो उपयोगकर्ता नहीं है नहीं कर रहा हूँ Read & Executeपर अनुमति \\server\dir1\dir2या \\server\dir1है, लेकिन जहाँ तक मुझे पता है, विकल्प ये हैं:

  • NTFS प्रतीकात्मक लिंक,
  • संगम,
  • कड़ी कड़ी।

तो सवाल:

  • क्या इनमें से कोई भी विधि मेरे लक्ष्य को पूरा करने के लिए उपयुक्त है?
  • क्या किसी निर्देशिका को जोड़ने या परोक्ष रूप से संदर्भित करने के अन्य तरीके हैं, जिन्हें मैंने ऊपर सूचीबद्ध नहीं किया है, जो उपयुक्त हो सकता है?
  • क्या कोई प्रत्यक्ष समाधान है जिसमें अनुदान Read & Executeदेना \\server\dir1या शामिल करना \\server\dir2अभी भी अनुमति नहीं है \\server\dir1\dir2\dir3?

यह संभव है। उपयोगकर्ता निर्देशिका को देखेगा, लेकिन यदि उसे पढ़ने की अनुमति नहीं दी गई है, तो निर्देशिका की सामग्री को सेटअप करने के लिए पर्याप्त आसान नहीं देख सकते हैं।
रामहुंड

यही मेरा सवाल भी था। चर्चा बढ़ाने के लिए धन्यवाद। और अपने प्रश्न को तुरंत प्रतिबिंबित करने के लिए अपडेट करने के लिए कि आपकी धारणा गलत थी।
टाइरॉन

जवाबों:


15

आप अपनी मूल धारणा में गलत हैं, जो आपके प्रश्न के बाकी हिस्से को प्रस्तुत करता है।

न्यूनतम अनुमति जो एक उपयोगकर्ता को चाहिए dir1और होती dir2है Traverse Directory। यह सबसे अधिक संभावना है कि आपके उपयोगकर्ताओं के लिए समस्याग्रस्त हो, हालांकि - इसलिए मैं सुझाऊंगा Traverse Directory और List Folders । वे शीर्ष दो निर्देशिकाओं के माध्यम से नेविगेट करने और उन स्थानों पर पहुंचने में सक्षम होंगे dir3जहां उनके पास अधिक अनुमतियां हैं, लेकिन यह भी नहीं देख पाएंगे कि शीर्ष निर्देशिका में कौन सी फाइलें मौजूद हैं।

अनुमतियां चाहते Read & Executeऔर Modifyव्यक्तिगत अनुमतियों का सिर्फ संग्रह हैं। वे पहली चीज़ हैं जो आप देखते हैं, क्योंकि वे सबसे अधिक उपयोग की जाती हैं। यदि आपको बहुत बारीक (जैसे स्थिति) प्राप्त करने की आवश्यकता है, तो Advancedबटन पर क्लिक करें और वहां सूचीबद्ध विकल्पों में खुदाई करें।


उत्कृष्ट जानकारी (2)! लेकिन ऐसा कुछ है जो मैंने नहीं पकड़ा: "यह आपके उपयोगकर्ताओं के लिए सबसे अधिक समस्याग्रस्त होगा, हालांकि"। यह समस्याग्रस्त क्यों होगा? नामकरण इस अर्थ में बहुत सीधा है कि "ट्रैवर्स" केवल आवश्यक अनुमति लगता है। उपयोगकर्ताओं को किस तरह की समस्याओं की उम्मीद करनी चाहिए?
टाइरॉन

12

आश्चर्यजनक रूप से, यदि किसी व्यक्ति के पास सबफ़ोल्डर के लिए पूर्ण पथ है, जिस पर उनके पास कम से कम R अनुमतियाँ हैं, तो उन्हें किसी भी मूल फ़ोल्डर पर NO अनुमतियों की आवश्यकता होती है, यहां तक ​​कि ट्रैवर्स भी नहीं। वे बस यूएनसी का उपयोग करके इसे एक्सेस कर सकते हैं। (उन्हें, निश्चित रूप से, शेयर पर अनुमतियों को पढ़ना चाहिए; बस उस स्तर से ऊपर के किसी भी फ़ोल्डर पर नहीं जिसे वे एक्सेस करना चाहते हैं)।

जब मुझे बताया गया तो मुझे इस पर विश्वास नहीं हुआ, लेकिन परीक्षण से यह साबित हुआ।

यह वही है जो मैंने सोचा था कि मुझे विंडोज दुनिया में अनुमतियों का पता था, और मुझे संदेह है कि कई लोगों के लिए आश्चर्य होगा।

\ सर्वर \ folder1 \ folder2 \ folder3

यदि फ़ोल्डर 1 और फ़ोल्डर 2 पर बिल्बो के लिए कोई अनुमति नहीं है, लेकिन बिल्बो ने फ़ोल्डर 3 पर संशोधित किया है (उदाहरण के लिए), \ सर्वर \ फ़ोल्डर 1 \ फ़ोल्डर 2 \ फ़ोल्डर 3 उसे वहीं ले जाएगा, कोई समस्या नहीं।


जब folder1साझा अनुमतियाँ और NTFS अनुमतियाँ सेट की गई हों, folder3तो यह \\server\c$\folder1\folder2\folder3काम नहीं करेगा।
user2304170

1
इस उत्तर में जोड़ने के लिए, माता-पिता फ़ोल्डरों को एक सबफ़ोल्डर तक ले जाने के लिए यह "क्षमता" निहित है, हालांकि गहरी, जिसके लिए आपके पास पहुंच उपयोगकर्ता द्वारा दी गई है जिसे "बायपास ट्रैवर्स चेकिंग" कहा जाता है, जो कि समूह नीति में डिफ़ॉल्ट रूप से अधिकांश / सभी उपयोगकर्ताओं द्वारा दी गई है। ज्यादातर मामलों में। Itprotoday.com/management-mobility/… देखें क्योंकि मैं किन परिस्थितियों में अनुमति प्राप्त करने की सूची पर कब्जा करने के लिए इसे पर्याप्त रूप से यहां पेस्ट नहीं कर सकता।
रूक

बाईपास ट्रैवर्स चेकिंग एक अधिकार के रूप में भी है, अंतिम वांछित फ़ोल्डर / फ़ाइल खोलने के रास्ते में पेड़ में प्रत्येक फ़ोल्डर की अनुमतियों की जांच करने की अनुमति देने के लिए एनटीएफएस प्रदर्शन में वृद्धि के रूप में है, इसलिए इसे हटाने की सलाह नहीं दी जाती है जब तक कि आपको इसकी आवश्यकता न हो। सुरक्षा के बेहद उच्च स्तर।
रूक

1

MDMarra के समान एक समाधान NTFS अनुमतियों को निम्नानुसार सेट किया गया है:

  1. dir1 : ग्रांट सूची फ़ोल्डर सामग्री (ट्रैवर्स फ़ोल्डर / निष्पादित फ़ाइल, सूची फ़ोल्डर / डेटा पढ़ें, विशेषताएँ पढ़ें, विस्तारित विशेषताएँ पढ़ें, अनुमतियाँ पढ़ें)
  2. लेकिन केवल ड्रॉपडाउन पर लागू होने के लिए इस फ़ोल्डर का चयन करें
  3. dir2 : फ़ोल्डर सामग्री की सूची दें और केवल इस फ़ोल्डर पर लागू करें
  4. dir3 : वांछित पठन करें / अनुमतियाँ पढ़ें और इस फ़ोल्डर पर लागू करें , सबफ़ोल्डर और फ़ाइलें या सबफ़ोल्डर और फ़ाइलें केवल

अंतिम परिणाम यह है कि उपयोगकर्ता / समूह प्रत्येक व्यक्तिगत माता-पिता के फ़ोल्डर को पढ़ सकते हैं और किसी अन्य फ़ोल्डर या फ़ाइलों के बिना बच्चे के फ़ोल्डर में ड्रिल कर सकते हैं।


यही कारण है कि नहीं है समान MDMarra के जवाब यह है कि करने के लिए है MDMarra का जवाब, अधिक विस्तार से बताए।
स्कॉट

0

इसलिए मैं निम्नलिखित वातावरण में इसका परीक्षण कर रहा हूं क्योंकि मैं अंतिम रूप से परीक्षण किया गया उत्तर चाहता था, ब्राउज़िंग के माध्यम से फ़ोल्डर्स को ट्रैवर्सिंग के लिए नंगे न्यूनतम आवश्यक अनुमतियों पर (यानी विंडोज फाइल एक्सप्लोरर के माध्यम से)। यहां उन लोगों के लिए परिणाम हैं जो चीजों को कसकर बंद करना चाहते हैं।

मैंने अभी तक उत्पादन में इसका परीक्षण नहीं किया है, यह देखने के लिए कि क्या "मानक" अच्छी तरह से परीक्षण किए गए ट्रैवर्सल राइट्स टेम्प्लेट को पार करने से कोई विषम दुष्प्रभाव हैं?

  • ट्रैवर फोल्डर
  • सूची फ़ोल्डर
  • विशेषताएँ पढ़ें
  • एक्सट्रा पढ़ें। गुण
  • पर पढ़े

... जो मूल रूप से सामान्य है "रीड एंड एक्सक्यूट" अनुमतियाँ "यह फ़ोल्डर" तक सीमित है। उस ने कहा, उपयोगकर्ताओं के लिए अभी तक छोटे पैमाने पर परीक्षण पूरी तरह से ठीक है, बस सर्वर पर फ़ाइलों को स्थानांतरित करना, कॉपी करना और निकालना और उपयोगकर्ताओं को पूरी तरह से दस्तावेजों की सर्वर प्रतियों से दूर काम करना आदि।


वातावरण:

  • सर्वर : विंडोज 2008 आर 2 - ग्रुप पॉलिसी नहीं करने के लिए थोड़ा, उपयोगकर्ता अधिकारों से संबंधित कुछ भी नहीं बदला, डोमेन नियंत्रक के रूप में कॉन्फ़िगर किया गया, एडी-एकीकृत डीएनएस, बहुत मानक / मूल सेटअप।
  • क्लाइंट : विंडोज 7 SP1 - VM में क्लीन इंस्टॉल, सर्वर से कनेक्शन सुनिश्चित करने के लिए किसी भी बदलाव के बीच पुनरारंभ हर बार पूरी तरह से फिर से बनाया गया था।
  • दोनों इंस्टॉलेशन कम से कम 2017 के अंत में पैच किए गए थे, इसलिए अनुमतियों से संबंधित किसी भी चीज के लिए वर्तमान की संभावना है जो विंडोज टाइमलाइन में इस बिंदु पर बहुत बेक्ड-इन है।
  • यह VM में एक स्थिर नेटवर्क ड्राइव (\ server \ share -> S :) के रूप में माउंट किए गए साझा फ़ोल्डर तक पहुंच रहा था। शेयर अनुमतियां पढ़ी गई थीं + प्रमाणित उपयोगकर्ता समूह के लिए बदलें जो परीक्षण उपयोगकर्ता को कवर करता है और अन्य सभी को कभी-कभी किसी बिंदु पर पहुंच की आवश्यकता होती है।
  • प्रत्येक परिवर्तन के बाद मैं VM को पुनः आरंभ करूंगा, फ़ाइल एक्सप्लोरर को खोलूंगा, और बस शेयर को सामान्य रूप से ब्राउज़ करूंगा, एक पथ नीचे जा रहा हूं जो मुझे पता था कि परीक्षण उपयोगकर्ता के पास ये ट्रैवर्सल अधिकार थे बनाम उन पर नहीं।

परिणाम:

  • रूट फ़ोल्डर पर आवश्यक : ListFolder-ReadData + ReadAttributes (2x अनुमतियाँ)
  • सबफ़ोल्डर्स पर आवश्यक : ListFolder-ReadData (1x अनुमति)
  • वैकल्पिक : TraverseFolder - ExecuteFile

    -> यह वैकल्पिक अनुमति तभी मायने रखती है जब बायपास ट्रैवर्स चेकिंग उपयोगकर्ता अधिकार स्पष्ट रूप से अस्वीकृत हो गया हो, क्योंकि यह 99% परिस्थितियों में डिफ़ॉल्ट रूप से चालू है। अलग से डालें, "बाईपास ट्रैवर्स चेकिंग" उपयोगकर्ता अधिकार (समूह नीति में उजागर, NTFS फ़ाइल / फ़ोल्डर अनुमतियों में नहीं) सक्षम होना इस विशेषाधिकार का पूरी तरह से पालन करता है और डिफ़ॉल्ट रूप से हर जगह इस विशेषाधिकार को सक्षम बनाता है। नोट: मैंने यह देखने के लिए परीक्षण नहीं किया है कि क्या इस अधिकार का स्पष्ट खंडन, बदले में, बायपास ट्रैवर्स चेकिंग उपयोगकर्ता को उस विशेष उदाहरण में प्रभावी होने से रोक देगा, लेकिन यह हो सकता है)।

अनुपूरक जानकारी: "बाईपास ट्रैवर्स चेकिंग" उपयोगकर्ता अधिकार किसी को सबफ़ोल्डर में निष्क्रिय रूप से पार करने की अनुमति देता है, हालांकि कई स्तर गहरे, कि उनकी सीधे पहुंच होती है (यानी उस फ़ाइल / फ़ोल्डर में अनुमतियाँ सेट की जाती हैं, लेकिन जरूरी नहीं कि कहीं और आगे बढ़ें फ़ाइल पथ)।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.