View Full Version : Problemi di condivisione directory sotto dominio
Buongiorno,
da me è stato rifatto il server di dominio e da quel momento non è più possibile settare alcune politiche sulle directory condivise.
Ho creato diverse directory condividendole tutte col profilo everyone in quanto, se aggiungo i vari utenti interessati a tali directory e disabilito il profilo everyone, al tentativo di entrare in queste directory mi appare il messaggio Accesso negato.
Il fatto è che tali utenti sono tutti sotto dominio ma è negato loro l'accesso: quale potrebbe essere il motivo ?
grazie
parlando di utenti stai impostando gli accessi NTFS.
ma quelli di sharing li hai impostati?
parlando di utenti stai impostando gli accessi NTFS.
ma quelli di sharing li hai impostati?
ciao,
dunque, le directory sono condivise ma ho scoperto casualmente che se si aggiunge un utente e non si elimina everyone, i profili dell'utente e quello di everyone vanno in una sorta di conflitto.
Alla fine ho eliminato everyone ma solo dopo aver aggiunto l'utente e tutto sembra funzionare, almeno per ora :stordita:
non vanno in conflitto, si uniscono ed è la negazione a prevalere
se everyone è negato, TUTTI (anche administrator) non hanno accesso
se everyone è il sola lettura ed un utente è negato... lui non accede
se invece everyone non appare... è tutto più chiaro per chi non è ferrato sulle ACL come te... :)
non vanno in conflitto, si uniscono ed è la negazione a prevalere
se everyone è negato, TUTTI (anche administrator) non hanno accesso
se everyone è il sola lettura ed un utente è negato... lui non accede
se invece everyone non appare... è tutto più chiaro per chi non è ferrato sulle ACL come te... :)
considerando che sto imparando solo smanettando mi ritengo abbastanza soddisfatto dei risultati.
Di sicuro tu avrai a disposizione la documentazione che io non riesco a trovare :)
Ad ogni modo a me interessa che solo chi ha i privilegi deve poter aprire le cartelle, gli altri non devono potervi accedere anzi, sarebbe ideale che non venissero nemmeno visualizzate da chi non è nelle lista dei privilegiati, in questo modo non ti viene la tentazione di cliccarci sopra.
poi, da sbadato che sono, ho notato che esiste Condivisionee Protezione dove la prima si riferisce alla rete e la seconda al locale. Se non ho capito male prevale sempre la seconda sulla prima.
diciamo che è buona consuetudine impostare i diritti di sharing a "everyone full control" e poi successivamente impostare i diritti NTFS utente per utente... meglio ancora gruppo per gruppo
ovvero nel dominio creare 2 gruppi di utenti per la cartella condivisa (esempio amministrazione)
cartellaamministrazioneR e cartellaamministrazioneF
cioè Read e Full controll
poi mettere i giusti utenti o gruppi all'interno, tornare nella cartella, cancellare i diritti esistenti ed impostarli con i soli 2 gruppi appena creati
ovviamente senza perdere administrator
diciamo che è buona consuetudine impostare i diritti di sharing a "everyone full control" e poi successivamente impostare i diritti NTFS utente per utente... meglio ancora gruppo per gruppo
adesso a livello di condivisione ho provato ad aggiungere solo gli utenti desiderati ed eliminare il solito everyone; poi a livello NTFS ho lascato everyone full control ma sinceramente non mi è chiaro se così è più o meno sicuro.
In definitiva a me sembra che si possa agire in modi differenti ma sinceramente quale sia il più sicuro no lo so.
Mi rimane ancora il prblema di come non far visualizzare le cartelle a quegli utenti che no compaiono nei rispettivi gruppi.
A naso sembrerebbe più sicura la tua soluzione:
- a livello condivisione lasciare everyone
- a livello NTFS (protezione) assegnare i singoli utenti
è quello che dicevo io...
Mi rimane ancora il prblema di come non far visualizzare le cartelle a quegli utenti che no compaiono nei rispettivi gruppi.
Non mi è ben chiaro che cosa vuoi fare. Probabilmente intendi che nell'elenco delle condivisioni di un determinato server il nome di una cartella condivisa sia visibile solo agli utenti che hanno i privilegi di lettura, come hai scritto in un altro messaggio:
gli altri non devono potervi accedere anzi, sarebbe ideale che non venissero nemmeno visualizzate da chi non è nelle lista dei privilegiati
Quest'ultima cosa non è fattibile. Anche negando l'accesso a tutti gli utenti la condivisione sarebbe comunque visibile nell'elenco delle cartelle condivise. Se vuoi renderla invisibile devi aggiungere il carattere "$" alla fine del nome della condivisione. Per esempio se vuoi che la condivisione "pippo" sia invisibile devi chiamarla "pippo$".
Occhio che così facendo diventa invisibile per tutti; la condivisione continuerà ad esistere e a essere accessibile agli aventi diritto solo che non comparirà più nell'elenco. Per accedervi bisognerà utilizzare la notazione UNC. Per esempio se la condivisione di cui sopra è condivisa dal server "pluto" per accederci bisognerà digitare
\\pluto\pippo$
Non mi è ben chiaro che cosa vuoi fare. Probabilmente intendi che nell'elenco delle condivisioni di un determinato server il nome di una cartella condivisa sia visibile solo agli utenti che hanno i privilegi di lettura, come hai scritto in un altro messaggio:
Quest'ultima cosa non è fattibile. Anche negando l'accesso a tutti gli utenti la condivisione sarebbe comunque visibile nell'elenco delle cartelle condivise. Se vuoi renderla invisibile devi aggiungere il carattere "$" alla fine del nome della condivisione. Per esempio se vuoi che la condivisione "pippo" sia invisibile devi chiamarla "pippo$".
Occhio che così facendo diventa invisibile per tutti; la condivisione continuerà ad esistere e a essere accessibile agli aventi diritto solo che non comparirà più nell'elenco. Per accedervi bisognerà utilizzare la notazione UNC. Per esempio se la condivisione di cui sopra è condivisa dal server "pluto" per accederci bisognerà digitare
\\pluto\pippo$
grazie 1000 per le tue indicazioni.
Ora ho un altro problema: lascio di default nella condivisione everyone con tutto concesso, a livello NTFS aggiungo gli utenti che mi interessano ed elimino everyone in quanto chi non è nella lista non deve poter far nulla; a questo punto aggiungo anche l'utente administrator ed andadno su una macchina il cui profilo non è amministratore mi fa entrare in quella particolare cartella: che sta succedendo ?
Lo so BTS, era solo una verifica per vedere se avevo capito, grazie 1000 :)
andadno su una macchina il cui profilo non è amministratore mi fa entrare in quella particolare cartella: che sta succedendo ?
Con quale nome utente hai fatto logon sulla macchina con cui accedi alla condivisione?
Con quale nome utente hai fatto logon sulla macchina con cui accedi alla condivisione?
col nome di un utente non amministratore ma che è sotto dominio
comunque ho notato che esistono:
- Administrator/builtin
- Administrator/user
dei quali mi sfugge la differenza
anzi, mi correggo: settando Administrators/builtin entra chiunque, settando incece Administrator/user le cose sembrano funzionare in modo corretto
secondo me stai facendo del casino.
hai 2 possibilità: o crei 2 gruppi uno da associare in lettura e l'altro in scrittura
o direttamente gli utenti uno ad uno impostati nei diritti NTFS della cartella condivisa.
secondo me stai facendo del casino.
hai 2 possibilità: o crei 2 gruppi uno da associare in lettura e l'altro in scrittura
o direttamente gli utenti uno ad uno impostati nei diritti NTFS della cartella condivisa.
non credo proprio di fare casino visto che ho ereditato un sistema caotico :D
Come setto da linea di comando i vari privilegi, col vecchio attrib ?
E poi mi parlano male di linux :fagiano:
è possibile settare condivisioni e privilegi via script ?
via prompt devi usare cacls
via script? cosa logon script? ma non ha senso... se li imposti nelle cartelle, non hanno bisogno di essere refreshati. al massimo basta un logoff/logon dell'utente senza usare script.
il logon script viene usato per mappare percorsi di rete generalmente
via prompt devi usare cacls
interessante cacls col quale credo si possano creare dei file batch. Il mio problema è che ho dozzine di directory e un centinaio di utenti, sistemarli tutti non è banale.
Tieni presente che prima era configurato tutto sotto linux, ora per motivi che non sto a discutere si è passati a windows server.
grazie per l'informazione, ci studio sopra :)
crea dei gruppi... vedrai che fai presto
e comunque non ti servono i file batch per i diritti
si grazie, ma i gruppi e quant'altro li farò a linea di comando per avere sott'occhio la situazione :)
Purtroppo è molto complessa la situazione da me.
si grazie, ma i gruppi e quant'altro li farò a linea di comando per avere sott'occhio la situazione :)
Se vuoi davvero tenere sott'occhio la situazione, non c'è niente di meglio che l'interfaccia grafica: i gruppi li vedi letteralmente ;)
Se vuoi davvero tenere sott'occhio la situazione, non c'è niente di meglio che l'interfaccia grafica: i gruppi li vedi letteralmente ;)
se devi crearti dei file batch non è l'ideale usare le interfacce.
Uno si estrae con cacls > mieiutenti.xtx su file e poi se lo elabora come vuole.
domanda... hai mai visto la console management active directory users & computers?
devo ammettere che il tuo coraggio DEVE essere dato dal non conoscere altri strumenti, perchè fidati... non è così che si gestisce un dominio.
domanda... hai mai visto la console management active directory users & computers?
devo ammettere che il tuo coraggio DEVE essere dato dal non conoscere altri strumenti, perchè fidati... non è così che si gestisce un dominio.
la uso ma non mi è di molto aiuto nel mio caso. ribadisco sulla complessità del sistema sul quale sto operando, non è con un paio di click che si sistemano le cose purtroppo.
Ci sono decine di procedure e script e quant'altro che partono e necessitano di scrivere dappertutto: tra linux, windows server ed aix c'è da perdersi
allora mi spiace per te... :)
allora mi spiace per te... :)
tranquillo, mi sto facendo una bella esperienza ;)
A proposito, ho notato che settando determinate politiche per l'accesso a determinate cartelle esempio:
ho l'utente pippo che può accedere alla cartella documenti
problema
l'utente pippo se clicca sulla cartella documenti col tasto destro riesce a cambiare le politiche da me imposte: come lo si evita ?
scusate ma ho trovato come rimediare
vBulletin® v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.