[W7] Toegang tot share

Ik zit met het volgende issue, waarvan de situatie als volgt is:

Windows 7 x64 SP1 cliënts in een Windows Server 2008 R2 domein met 2 aparte 2008 R2 fileservers.
Op Fileserver1 bestaat een share, ik noem deze "afdeling".
Sharepermissions hiervoor zijn voor "everyone" Change/Read. Security staat in dit geval voor "Domain Users" op "This folder Only" Traverse, List en Read opties.

Nu gebruiken we in een aantal situaties het volgende bij een aantal folders op deze "afdeling" share, waarbij de folder zelf niet zichtbaar is, maar de files in deze folder wel uitvoerbaar en leesbaar zijn.
Dit doe ik door voor de specifieke groep personen de rechten op deze folder zo in te stellen, dat ze alleen "List Folder", "Read attributes" en "Read extended attributes" op "This Folder and subfolders" mogen doen.
Verder nog op "Files Only" hetzelfde als bovenstaand maar dan met "Traverse folder / execute file" en "Read permission" erbij, zodat ze files in die folder mogen uitvoeren (vanuit een andere applicatie)

Het resultaat hiervan is dat de folder niet zichtbaar is als je er naar toe browsed via bijv. My Computer, via een schijfkoppeling naar bijv. "Fileserver1 - Afdeling".
Wel kan je bij de folder komen als je het path in zou typen, bijv \\Fileserver1\Afdeling\foldernaam

Deze methode werkt al jaren zo in onze omgeving, maar sinds ik een aantal nieuwe cliënten heb geinstalleerd werkt dit op die specifieke nieuwe cliënten niet meer. Ook een kale pc, zo uit de doos met Windows 7 preinstalled by PC leverancier en aangemeld op het domein door mij, zonder verder iets aan te passen, geeft geen werkend resultaat.

Alles getest met dezelfde gebruiker op hetzelfde domein met dezelfde GPO's actief en zelfde Windows 7 versie.

Kortom, bestaande clienten met daarop al jaren Windows 7 X64 SP1 hebben toegang tot de files in die niet zichtbare folder, en nieuwe clienten met hetzelfde OS hebben geen toegang tot de folder en/of bestanden.

Ik hoop dat het verhaal enigszins duidelijk en en of iemand dit iets zegt.. Ik zit nu met een mix van wel werkend en niet werkend zonder ook maar enig aanknopingspunt.

MAX3400 schreef op dinsdag 13 oktober 2015 @ 17:36:
Werkt het wel als je op de client aanmeldt met een full-blown Domain/Enterprise Admin?
Werkt het wel/niet afhankelijk een local Guest-account wat niet goed staat?
Kan je meer vertellen over je GPO's wat er aan users/computers wordt toegekend betreffende de shares en/of zijn er errors te vinden?
Hoe staan de firewalls van de nieuwe clients?

Ik probeer mijn best te doen het zo goed mogelijk te verwoorden, wat al best lastig is..

De Domain Admins mogen in dit geval overal bij en heb daar verder niet mee getest. Kan dit nog wel even testen door de security op een folder aan te passen.
Er zijn diverse GPO's actief, van instellingen voor Windows firewall tot Screensaver. Nogal uitgebreid in ieder geval.
Maar in feite zit er geen verschil in instellingen tussen alle clienten. Ze maken allen gebruik van dezelfde GPO's, zelfde domein en OS.

Maar laat ik dan de volgende vraag stellen: Het zou qua folder security instelling toch mogelijk moeten zijn de folder niet direct zichtbaar te hebben, maar dat toch de files in de folder wel toegankelijk zijn? Als ik alleen Folder", "Read attributes" en "Read extended attributes" op "This Folder and subfolders" aanzet zou ik de folder al niet mogen zien, maar wel naar toe gaan middels \\fileservernaam\sharenaam\folder..? Iemand die dat elders kan testen?

Ik kan er zo weinig over vinden hoe je anders een folder niet zichtbaar maakt op het eerste oog, dat ik uiteindelijk maar probeer via deze weg.

Ik kan er niet bij wat er eventueel verschillend is of hoe ik anders een folder niet zichtbaar maak..

Er mogen trouwens ook andere groepen personen bij de folder, die de folder wel moeten zien, en ook kunnen zien. Ook mag deze groep de files bewerken ipv. alleen lezen.

Ben wel benieuwd of zoiets op willekeurig domein gewoon werkt.

[ Voor 8% gewijzigd door Hoyden op 13-10-2015 20:30 ]

Ik heb op een willekeurige andere server (in dit geval onze printserver) even een standaard share aangemaakt en daarop een folder aangemaakt.

Vervolgens rechten voor een testgebruiker (domain user) op deze folder aangepast naar "List Folder", "Read attributes" en "Read extended attributes" voor This folder, subfolders and files. (hetzelfde als de al bestaande folder op de fileserver)

Als ik nu de share benader via \\servernaam\share zie ik de folder staan, wat ik niet zou verwachten.
Als ik nu de eerdere share op de fileserver benader zie ik de daar aangemaakt folder die ik niet zou moeten zien ook daadwerkelijk niet staan, maar ik kan er ook niet bij door het adres in te typen..

Als ik echter de testgebruiker ook de rechten "Traverse folder/execute file" en "Read Permissions" geef, welke alleen van toepassing zijn of "Files Only" onder die folder, dan kan ik wel de files benaderen in deze niet zichtbare en toegankelijke folder. In principe ook hetgeen wat er mogelijk moet zijn en wat mijn doel altijd geweest is.

T'is wellicht wat lastig om goed te omschrijven, maar ik snap nog steeds niet waarom de bestaande cliënten, die al jaren of maanden zo draaien, wel bij de folder kunnen komen, en recent geïnstalleerde cliënten niet.. Dat blijft toch mijn voornaamste vraag en uitdaging, welke ik denk ik helaas niet zal kunnen oplossen.

Btw, ook als ik de folder op de fileserver zo aanpas dat de Domain Admins "List Folder", "Read attributes" en "Read extended attributes" voor This folder, subfolders and files mogen doen, zie ik de folder staan..Op de zelfde machine als waar de andere users de folder niet zien en kunnen benaderen..

[ Voor 13% gewijzigd door Hoyden op 14-10-2015 10:21 ]