Toon posts:

[NTFS] - permissies op nieuw aan te maken map

Pagina: 1
Acties:

zaterdag 11 juni 2011 13:22

Acties:
  • 0Henk 'm!
  • jimbo123
  • Registratie: November 2007
  • Laatst online: 26-03 13:17

jimbo123

Topicstarter
Wellicht een onduidelijke topic title, ik zal mijn situatie zo goed mogelijk uitleggen.

- Windows 2008 R2 domain controler / filserver

Stel ik heb de volgende directorystuctuur:

code:
1
2
3
4
5
6
7
8
9
10
11

d:\
d:\data
d:\data\gegevens
d:\data\gegevens\documenten
d:\data\gegevens\documenten\inkoop
d:\data\gegevens\documenten\verkoop
d:\data\gegevens\documenten\directie .. etc
d:\data\gegevens\documenten\relaties
d:\data\gegevens\documenten\relaties\klant 0001
d:\data\gegevens\documenten\relaties\klant 0002
d:\data\gegevens\documenten\relaties\klant 0003 .. etc


de map d:\data heb ik geshared met authenticated users full control op de share.
Binnen deze map ga ik vervolgens met NTFS rechten zaken beperken.

Ik heb een security group aangemaakt voor iedere subdirectory binnen de map "documenten"
dus een groep voor Inkoop, een groep voor verkoop, eentje voor relaties.. etc.

Tot dusver alles ok, maar nu komt de wens om een gebruiker alleen rechten te geven tot een select aantal relaties, bijvoorbeeld alleen klant 0001 en 0003. (in de praktijk zijn er ongeveer 100 klanten)

Ik had gedacht om dan groepen aan te maken voor de klanten waar toegang tot gewenst is en de gebruiker alleen lid te maken van deze groepen. Dat werkt niet omdat de gebruiker ook toegang moet hebben tot de map "relaties". Zodra ik deze toegang geef dan lijkt in eerste instantie alles goed te werken en kan de gebruiker inderdaad alleen maar in klant 1 en 3.

Het probleem is nu echter dat wanneer een nieuwe map wordt aangemaakt (klant 101 bijvoorbeeld), dan krijgt deze nieuwe map de rechten van de bovenliggende map (relaties). En dan mag onze beperkte gebruiker hier dus gewoon in.

Ik wil als beheerder weinig werk hebben en dit zo slim mogelijk inregelen, maar hoe kan ik nu zorgen dat een nieuwe map niet de rechten krijgt van de bovenliggende?

In Novell deed ik dit met een IRF (inherited rights filter), maar ik kan voor Windows geen soortgelijke optie vinden.

Iemand een idee?

zondag 12 juni 2011 09:00

Acties:
  • 0Henk 'm!
  • ThomVis
  • Registratie: April 2004
  • Laatst online: 11-05 13:09

ThomVis

Detected rambling:

Authenticated users list rechten geven op het hoogste niveau (d:\data dus).
En als je het iets netter wilt doen maak je een groep aan met list rechten op het hoogste niveau, en plaats al jouw groepen die extra rechten hebben in de onderliggende structuur in die groep. Dit werkt alleen met domain groepen.

You don't have to know how the computer works, just how to work the computer.

zondag 12 juni 2011 10:58

Acties:
  • 0Henk 'm!
  • jimbo123
  • Registratie: November 2007
  • Laatst online: 26-03 13:17

jimbo123

Topicstarter
Bedankt, ThomVis... ik heb het geprobeerd maar dit geeft niet het gewenste resultaat.

Wanneer ik list rechten geef dan ziet de user de naam van alle andere klant mappen, en zelfs dat is al gevoelige info.

Ik maak gebruik van access based enumeration op de share zodat mappen waar geen rechten voor zijn automatisch onzichtbaar worden. Het onzichtbaar worden gebeurd niet wanneer een user list rechten heeft.

zondag 12 juni 2011 11:10

Acties:
  • 0Henk 'm!
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Je kan bij het toekennen van de rechten op Relaties onder advanced kiezen voor de scope waarbij de rechten doorgevoerd moeten worden. Je zet dan op 'This folder only' en die rechten worden vervolgens niet overgeeerfd.

Mijn insteek zou overigens zijn om de folder gewoon te splitsen in 'gevoelige' mappen en 'niet gevoelige mappen' of iets dergelijks, dit is een disaster waiting to happen :)

zondag 12 juni 2011 11:23

Acties:
  • 0Henk 'm!
  • jimbo123
  • Registratie: November 2007
  • Laatst online: 26-03 13:17

jimbo123

Topicstarter
elevator schreef op zondag 12 juni 2011 @ 11:10:
Je kan bij het toekennen van de rechten op Relaties onder advanced kiezen voor de scope waarbij de rechten doorgevoerd moeten worden. Je zet dan op 'This folder only' en die rechten worden vervolgens niet overgeeerfd.

Mijn insteek zou overigens zijn om de folder gewoon te splitsen in 'gevoelige' mappen en 'niet gevoelige mappen' of iets dergelijks, dit is een disaster waiting to happen :)
Ik begrijp je punt, dat zou ik ook het liefste doen... maar wanneer er meer users komen met weer verschillende toegang, dan loop je vast.

Edit: met special permissions heb ik het voor elkaar gekregen door de scope idd alleen op die enkele folder te zetten. Bedankt!

[Voor 9% gewijzigd door jimbo123 op 12-06-2011 11:30]

dinsdag 14 juni 2011 18:39

Acties:
  • 0Henk 'm!
  • DaVaRiOuS
  • Registratie: September 2001
  • Laatst online: 27-07-2022

DaVaRiOuS

Waarom maak je niet gewoon een share op D:\data\gegevens\documenten\relaties.

Ik begrijp dat er onder de map 'relaties' alleen de klant mappen staan en geen losse documenten?
Je kan dan vanaf die map relaties de klantmappen toegang geven tot de gebruikers die erop toegang mogen hebben en waarop ze geen toegang mogen hebben.

Je kunt dan uiteraard de bovenliggende mappen uitsluiten door de rechten niet over te laten nemen.

Hierbij natuurlijk aangenomen dat de gebruikers deze map benaderen via een share en niet inloggen op de server...

[Voor 10% gewijzigd door DaVaRiOuS op 14-06-2011 18:40]

dinsdag 14 juni 2011 23:53

Acties:
  • 0Henk 'm!
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

elevator schreef op zondag 12 juni 2011 @ 11:10:
Mijn insteek zou overigens zijn om de folder gewoon te splitsen in 'gevoelige' mappen en 'niet gevoelige mappen' of iets dergelijks, dit is een disaster waiting to happen :)
Ik zou het ook meer platslaan idd ;)
Naast dat het een NTFS permissiedoolhof gaat worden waar je een jaar later enorm spijt van gaat krijgen:
Met een dergelijke diepe nesting kom je vanzelf een keer op de 255 karakter limiet van je Verkenner.

[Voor 11% gewijzigd door alt-92 op 14-06-2011 23:54]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

woensdag 15 juni 2011 12:42

Acties:
  • 0Henk 'm!
  • jimbo123
  • Registratie: November 2007
  • Laatst online: 26-03 13:17

jimbo123

Topicstarter
alt-92 schreef op dinsdag 14 juni 2011 @ 23:53:
[...]

Ik zou het ook meer platslaan idd ;)
Naast dat het een NTFS permissiedoolhof gaat worden waar je een jaar later enorm spijt van gaat krijgen:
Met een dergelijke diepe nesting kom je vanzelf een keer op de 255 karakter limiet van je Verkenner.
Dat laatste zal wel meevallen omdat ik voor de gebruikers een netwerkschijf map naar dieper in het path.

Ik ben het volledig met jullie eens dat het een NTFS permissiedoolhof gaat worden, maar ik zie echt niet hoe het anders kan.

De splitsing zoals Elevator voorstelt zou ideaal zijn wanneer het een systeem betreft voor enkele gebruikers.
Wanneer er meer gebruikers komen dan werkt dit simpelweg nietmeer omdat er dan pietje bijvoorbeeld rechten moet hebben tot klant 002 en 003, terwijl jaapie alleen klant 002 en 001 mag zien.

Het simpelweg splitsen door klanten in een andere map op te slaan lijkt mij dus niet te werken met veel gebruikers en verschillende / overlappende rechten.

Ik zal de NTFS doolhof scenario's beperken door te werken met groepen, en niet gebruikers rechtstreeks rechten geven tot een map, volgens mij zou het dan toch beheersbaar moeten blijven... weinig werk is echter anders!

Ik sta graag open wanneer iemand hier een andere/betere visie op heeft.

woensdag 15 juni 2011 12:45

Acties:
  • 0Henk 'm!
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Zijn er binnen je organisaties geen teams van mensen die bv. een groep van relaties beheert die je kan samennemen?

Als je overigens zegt dat het veel werk is, dit soort dingen zijn imho typisch zaken die je moet scripten simpelweg ook om fouten te voorkomen :)
Pagina: 1
Reageer

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee