Права доступа в NTFS

[AdVv]

Пытаюсь разобраться с правами доступа в NTFS. Волосы на разным местах встают дыбом и шевелятся. Интересно чего курил человек, который это спроектировал. Зачем права объединены в идиотские комбинации а-ля Full, Modify, Read, Write и пр., причем Modify включает в себя Write, а не по логике наоборот ? Зачем нужно Deny, если и так запрещено все, что не разрешено ? Неужели просто Delete мало, и нужно еще Delete subfolders and files ? Почему MS Word не сохраняет документ, если нет прав на изменение расширенных атрибутов ?! Бред ;(. И гравный вопрос - как запретить изменение прав доступа и запуск для файлов в папке, если создатель файла _всегда_может_изменять_на_него_права_?!

[Unit]

Тоже не сразу понял всю логику их, но со временем разобрался. Либо общим образом настраиваешь, либо досканально выставляешь режимы работы.
А вообще система неудобная до ужаса - выдать права - надо 4 раза мыщью кликнуть для 1 юзера (если ещё хоткеями не приучился)

[nuclight]

Тоже не сразу понял всю логику их, но со временем разобрался. Либо общим образом настраиваешь, либо досканально выставляешь режимы работы.

POSIX ACLs по мощности хуже будут.

А вообще система неудобная до ужаса - выдать права - надо 4 раза мыщью кликнуть для 1 юзера (если ещё хоткеями не приучился)

cacls /? и наследование прав спасёт отца русской демократии.

[Unit]

cacls /? и наследование прав спасёт отца русской демократии.

cacls удобно, но только если для групп прописывать, imho.
При настройке отдельного юзера шагов не меньше

[anovo]

как запретить изменение прав доступа и запуск для файлов в папке, если создатель файла _всегда_может_изменять_на_него_права_?!

Имея права Администратора, можно изменить Владельца Объекта (Старый Владелец -> НовыйВладелец-Администратор). Затем Объекту можно назначить требуемые NTFS-разрешения.

[visual]

Пытаюсь разобраться с правами доступа в NTFS. Волосы на разным местах встают дыбом и шевелятся.

доки читать не пробовал?

Интересно чего курил человек, который это спроектировал. Зачем права объединены в идиотские комбинации а-ля Full, Modify, Read, Write и пр., причем Modify включает в себя Write, а не по логике наоборот ?

How Permissions Work

Зачем нужно Deny, если и так запрещено все, что не разрешено ?

затем же, зачем в access list есть permit и deny, несмотря на то что по-дефолту все запрещено (правило deny any any у cisco).
если ты даешь группе пользователей право Read/Write, но хочешь чтобы один из участников группы имел право Read only - делаешь ему Deny Write, не меняя состав группы. или по-дефолту на всю папку права Read/Write, но хочешь чтобы на одну из подпапок было право ReadOnly - делаешь только на эту папку (если нужно без наследования) право Deny Write.

Неужели просто Delete мало, и нужно еще Delete subfolders and files ?

право Delete subfolders and files применяется только для папок, а Delete как для папок и файлов.

Почему MS Word не сохраняет документ, если нет прав на изменение расширенных атрибутов ?!

Permissions That Are Required to Run Word

И гравный вопрос - как запретить изменение прав доступа и запуск для файлов в папке, если создатель файла _всегда_может_изменять_на_него_права_?!

One of the challenges of NTFS permissions is that it follows the discretionary access control list (DACL) model. The difficulty of the DACL model is that the creator of an object is the owner of that object and can set any permissions they choose. This can pose a major security challenge in a high security area of your file system. Unfortunately, not all users have the same level of discretion when it comes to security issues.

One of the better solutions I have come across involves scripting. You will find instructions for using the File Ownership Script Tool at HOW TO: Use the File Ownership Script Tool (Fileowners.pl) in Windows 2000. This Knowledge Base article should help you get started using the script even if you have limited scripting or programming skills.

Once you take ownership of the file or folder, the user who created the object cannot change the permissions you set unless, of course, you give them that permission. The next questions are when does the administrator take ownership, and what happens if the user changes the permissions before the administrator takes ownership. There is excellent information at Watching Folder Activity in VB.NET. You will need some programming skills and the Microsoft® .NET Framework installed, as well as Visual Studio® .NET (version 1.0 or later). This site takes you through the steps to create code that can monitor a folder for activity and direct how to respond to that activity. If you combine both of these resources, you can monitor a folder and take ownership automatically as soon as a user creates an item.

http://www.microsoft.com/technet/technetma.../HowITWorksNTFS

[AdVv]

POSIX ACLs по мощности хуже будут.
cacls /? и наследование прав спасёт отца русской демократии.

Чтож, камень в огород POSIX систем. Давным давно устаревшие rwx к которым приделали костыли. Я честно говоря с тоской вспоминаю Netware, где все было просто понятно и удобно до безобразия. cacls и xcalcs не спасут, проблема не в них.

[AdVv]

Имея права Администратора, можно изменить Владельца Объекта (Старый Владелец -> НовыйВладелец-Администратор). Затем Объекту можно назначить требуемые NTFS-разрешения.

Я в курсе,  просто видимо надо подробнее пояснить чего я хотел получить. Имеется компьютерный класс общего доступа. Для пользователей разрешена запись только в папку Мои документы, которая перенаправлена в расшаренный ресурс на сервере. Пользователи особой сознательностью не отличаются, и регулярно качают игрушки, порно и пр. хрень. Причем особо одаренные норовят навалить все это в папку и забрать права на чтение. Вот я и хотел убрать возможность править права, а заодно выставлять атрибуты и запускать что либо из домашней папки. Но проблема в том, что скачав чтото, пользователь автоматически считается владельцем файла, и следовательно может сам выдать себе разрешение на все что угодно. И все "возможности" NTFS ACL идут лесом.

[AdVv]

доки читать не пробовал?

затем же, зачем в access list есть permit и deny, несмотря на то что по-дефолту все запрещено (правило deny any any у cisco).
если ты даешь группе пользователей право Read/Write, но хочешь чтобы один из участников группы имел право Read only - делаешь ему Deny Write, не меняя состав группы. или по-дефолту на всю папку права Read/Write, но хочешь чтобы на одну из подпапок было право ReadOnly - делаешь только на эту папку (если нужно без наследования) право Deny Write.

право Delete subfolders and files применяется только для папок, а Delete как для папок и файлов.

Permissions That Are Required to Run Word

...посикпано...

a folder and take ownership automatically as soon as a user creates an item.

http://www.microsoft.com/technet/technetma.../HowITWorksNTFS

Как ни странно пробовал. Вопрос собственно был не как это работает а как это применять.
Я опятьже понимаю механизм работы Deny, но ничего кроме дополнительной путаницы он не вносит. Если вспомнить старую добрую нетварь, там все было не менее гибко, и гораздо более логично. То же самое можно сказать про два правила delete и область действия записи в ACL. По поводу ссылок - спасибо за помошь, вторая в тему. Но согласитесь, организация ACL в NTFS оставляет море пунктов для критики, а решение с монторингом активности в папке и перехватом владения напоминает доработку напильником паравоза.

[visual]

перенаправлена в расшаренный ресурс на сервере. Пользователи особой сознательностью не отличаются, и регулярно качают игрушки, порно и пр. хрень. Причем особо одаренные норовят навалить все это в папку и забрать права на чтение. Вот я и хотел убрать возможность править права,

проверил еще раз. после добавления на папку прав Deny Change Permission и Deny Take Ownership, пользователь может положить файл, но не может поменять права доступа к этому файлу.

а заодно выставлять атрибуты

Deny Write Attributes

и запускать что либо из домашней папки.

а это через политики запрети.

Но проблема в том, что скачав чтото, пользователь автоматически считается владельцем файла, и следовательно может сам выдать себе разрешение на все что угодно. И все "возможности" NTFS ACL идут лесом.

поставь права, про которые я говорил и убедись в обратном

[visual]

Чтож, камень в огород POSIX систем. Давным давно устаревшие rwx к которым приделали костыли. Я честно говоря с тоской вспоминаю Netware, где все было просто понятно и удобно до безобразия.

да, у новела оно иначе. проще или сложнее - это кто к чему успел привыкнуть. в части функций для файлопомойки не стоит забывать про Access-based Enumeration, который появился с выходом SP1. плюс после выхода R2 получаем:

• Better storage utilization. Provides storage utilization information through detailed storage reports.
• Better quota management. Monitors and controls disk space usage with directory quotas.
• Better file screening. Limits types of files allowed on servers with file screening.
• Simpler SAN configuration. Easily configures and provisions storage area networks (SANs).

ну и если менять новел на винду, то лучше сразу на Storage Server Edition.

Advantages of Windows Storage Server 2003
Windows Storage Server 2003 is designed for simplicity, reliability and performance. NAS appliances built on Windows Storage Server operating system integrate seamlessly into the IT network to provide one of the most economical file serving and network attached storage solutions available to departmental and enterprise-sized businesses.
•   Ease of Deployment. Depending on the expertise of the system administrator and the complexity of the computing environment, installation of an application or general purpose server can take anywhere from several hours to a day or more of work. Because Windows Storage Server 2003 comes preconfigured, other than using the web browser interface to set up users and shares, the only installation work necessary is plugging the device into the company LAN. In less than 15 minutes, gigabytes to terabytes of storage can be made available to users across multiple OS platforms.
•   Simple Management. Windows Storage Server 2003 can be managed remotely though Terminal Services sessions or through a Web browser interface from any desktop on the network. Because Windows Storage Server 2003 uses the Windows operating system, administrators already familiar with Windows do not have to learn a new NAS operating system.    
•   Dependability. Windows Storage Server 2003 is designed to fully support redundant hardware components—disks, power supplies and fans—to provide continuous and uninterrupted availability should a hardware failure occur. And because NAS devices are designed this way, the potential points of hardware failure are fewer than with general purpose servers.  
•   Enhanced Data Protection. Through built-in point-in-time shadow technology, Windows Storage Server 2003 helps businesses keep their data online 24x7 year-round. Using the infrastructure provided by Windows Server 2003 Volume Shadow Copy Service (VSS), the system administrator can use point-in-time shadow copy technologies to make up to 512 snapshots per volume using NTBACKUP (of which 64 are reserved for Shadow Copies for Shared Folders). These shadow copy backups are available for rapid restores should the need arise. Unlike tape backups which can take hours to restore, these shadow copy backups can be restored in minutes.
The end user can also benefit from point in time imaging technologies, using the Shadow Copies for Shared Folders (SCSF) feature. SCSF enables users to restore accidentally deleted or overwritten files or entire folders without the need for IT intervention. A maximum of 64 SCSF per volume can be created.
•   ISV Utility Support. NAS devices developed with Windows Storage Server 2003 include all of the benefits of application support available in Windows Server 2003. Critical ISV utilities, such as antivirus, backup, replication and disk quota software, are immediately available and supported in Windows Storage Server 2003. NAS devices not based on Windows Storage Server 2003 are not able to support these kinds of products without special versions, or those operational procedures must be performed from application servers on the NAS files and file.
•   Robust Security. Because it can be integrated seamlessly with Active Directory services, Windows Storage Server 2003 can take advantage of the Windows security features such as data and file encryption, network authentication, secure network transport, and network wide group policies.  
•   Load Balancing and Server Fail Over. Windows Storage Server 2003 integrates effectively with the Distributed File System, enabling effective management of the servers and files on the business network. DFS works to provide a single hierarchical view all the servers and their shares. Replicating the data across multiple servers and keeping the data synchronized with File Replication Service (FRS) is an effective way to balance the network load. In the event that a server fails, DFS will automatically redirect clients to the closest available server.  

[AdVv]

проверил еще раз. после добавления на папку прав Deny Change Permission и Deny Take Ownership, пользователь может положить файл, но не может поменять права доступа к этому файлу.
Deny Write Attributes
поставь права, про которые я говорил и убедись в обратном

Из под администратора создаем папочку Home. Даем пользователю user полномочия modify внутри нее. Для него же делаем deny write permissions и take owner. Заходим под пользователем user, создаем папку porno, открываем свойства - безопасность - дополнительно - и сбрасываем галочку "наследовать от родительского обьекта". Дабавляем пользователю uses - full control. Вуаля.
С файлами та же песня.

а это через политики запрети.

Поподробнее если не секрет ?

[visual]

Из под администратора создаем папочку Home. Даем пользователю user полномочия modify внутри нее. Для него же делаем deny write permissions и take owner. Заходим под пользователем user, создаем папку porno, открываем свойства - безопасность - дополнительно - и сбрасываем галочку "наследовать от родительского обьекта". Дабавляем пользователю uses - full control. Вуаля.

моя последовательность действий:
1. на сервере создал папку test. по-дефолту там есть право Everyone Full Control. добавляю для конкретного пользователя права Deny Change Permission и Deny Take Ownership. расшариваю эту папку в сеть с правами Modify и Read.
2. с пользовательской машины заходим в эту папку \\servername\test, кладем любой файл. проверяем права доступа - ничего изменить нельзя. ни права, ни владельца, ни отменить наследование прав. создаем папку porno и опять проверяем - нихрена не может пользователь поменять. что и требовалось доказать.

Поподробнее если не секрет ?

Using Software Restriction Policies to Protect Against Unauthorized Software

[stranger]

Я в курсе,  просто видимо надо подробнее пояснить чего я хотел получить. Имеется компьютерный класс общего доступа. Для пользователей разрешена запись только в папку Мои документы, которая перенаправлена в расшаренный ресурс на сервере. Пользователи особой сознательностью не отличаются, и регулярно качают игрушки, порно и пр. хрень. Причем особо одаренные норовят навалить все это в папку и забрать права на чтение. Вот я и хотел убрать возможность править права, а заодно выставлять атрибуты и запускать что либо из домашней папки. Но проблема в том, что скачав чтото, пользователь автоматически считается владельцем файла, и следовательно может сам выдать себе разрешение на все что угодно. И все "возможности" NTFS ACL идут лесом.

Я решил это просто... У меня пользовательские шары на ляликсе и перенаправление профайла и моих доков туда же + ко всему на ляликсе квоты подняты. Квоты достаточно жесткие и поэтому много туда не закачаешь... А на самих компах редактирование реестра запрещено через политики и диски закрыты на запись... В принципе еще можно через политики указать что проги можно запускать только из определенных каталогов...

[visual]

Я решил это просто... У меня пользовательские шары на ляликсе

не в ляликсе тут дело, а том как все настроено. в любом случае винда работает с ляликсом по SMB и права на ресурсы воспринимает только в одном формате.