Zpět na článek

Diskuze: NAS: Oprávnění ve Windows, directory server

Nejsi přihlášený(á)

Pro psaní a hodnocení komentářů se prosím přihlas ke svému účtu nebo si jej vytvoř.

Rychlé přihlášení přes:

advanced

Level

13. 4. 2013 13:12

Komentáře tohoto uživatele máš zablokované.

Jasne a ty ses tam podle charakteru prispevku na pozici vratny nebo otevirac zavory, ze?

Martin Suchánek

Level

10. 4. 2013 10:12

Komentáře tohoto uživatele máš zablokované.

Chápu tedy správně že pomocí ACL lze nadefinovat toto:
- user1 má přístup do adresáové struktury root-subfolder1-subfolder2 ale už ne na subfolder3,

ale ne toto?
- user1 nemá přístup do adresáové struktury root-subfolder1-subfolder2 ale chci mu dát právo na prohlížení dat v subfolder3.

Komplikuje mi to život, pokud mám systémově zatříděná data a jen na jeden z podadresářů chci někomu přidělit právo, nezbývá mi, než ta data vyhodit ven a řešit to jinak, což ničí systémovost....
Něco jsem přehlédl?

Radan Tuhý

Level

10. 4. 2013 11:33

Komentáře tohoto uživatele máš zablokované.

@Martin Suchánek Dobrý den,
v případě tohoto řešení (NAS od Synology) to funguje tak, jak jste napsal, tzn. nelze nastavit oprávnění pro subfolder3 při ponechání všech nadřazených adresářů zakázaných.

Je tu ovšem několik možností, jakými lze tato skutečnost obejít. Uvedu dva příklady.
1) vytvořit novou sdílenou složku, do které nasměrujete (symlinkem z příkazové řádky) adresář(e), ke kter/ému/ým chcete dát uživateli přístup. Při správném nastavení oprávnění by to mělo fungovat. Pokud byste chtěl konkrétní řešení, napište mi konkrétní model a pokusím se tuto situaci nasimulovat u sebe na NASu a následně sem do diskuze vložím postup.
2) nastavte uživateli oprávnění tak, aby měl možnost otevřít složku, ale neměl již oprávnění otevírat subfoldery. Takže uživatel bude sice vidět strukturu dat, ale dostane se pouze do root-subfolder1, po otevření se dostane pouze do subfolder2, atd. To lze ještě kombinovat s alternativní konfigurací v rámci administrace NASu, která spočívá v tom, že uživatel nevidí data, ke kterým nemá oprávnění. Pokud to aplikujete také na soubory, dosáhnete toho, že se uživatel prokliká strukturou, ale nebude moct přistupovat k ničemu jinému, než bude mít povoleno. Je to sice poměrně krkolomné řešení, ale mělo by to také fungovat.

Martin Suchánek

Level

7. 5. 2013 10:32

Komentáře tohoto uživatele máš zablokované.

@Radan Tuhý dobrý den, nemyslím že je důležité ale jedná se o nižší řady Synology konkrétně 212j:
ad 2) lokální uživatel potřebuje mít přístup k vnořené složce, adresářovou strukturu je vhodné skrýt, jak přesně nastavit oprávnění ke sdílené složce a jak nastavit windows ACL? Nepovedlo se, např. jakmile nepřidělím na upper složku ve win ACL právo čtení- přesunout složky/spustit soubory tak přístup nemám, v opačném případě mám přístup na čtení do celé adresářové struktury což je neřešitelné. Testované nastavení - uživatel má na sdílenou složku práva čtení/zápis (myšleno ovládací panel, uživatel, nastavení oprávnění), stejnému uživateli přidělujeme winACL práva v rámci filestation....

Yco

Level

9. 4. 2013 13:03

Komentáře tohoto uživatele máš zablokované.

Hmm, adresárový server ako pojem počujem prvýkrát. Zrejme musí byť neustále zapnutý, čo teda na NAS -e predpokladáme. Ok.

Len tak na okraj: Je doménový server aj súčasťou MS Windows 2k8, 2k12 Home servera? Lebo v takom prípade, keď mi všetky domáce stanice bežia na MS, je asi vhodnejší tento, že?
MS NAS sa asi ale dá len poskladať, že?

Radan Tuhý

Level

9. 4. 2013 17:46

Komentáře tohoto uživatele máš zablokované.

@Yco Dobrý den,
adresářový server musí být skutečně pořád zapnutý, aby bylo možné se oproti němu autentifikovat. To se u NASu předpokládá.

Co se týče edicí MS Windows Home Server, tak technicky to sice teoreticky možné je, ale z pohledu licenčních podmínek Microsoftu už ne ("Functionality Limitations. Active Directory - You may not use the server software as a domain controller or otherwise make use of DCPromo.exe.").