Problemi di condivisione directory sotto dominio

[misterx]

Buongiorno,
da me è stato rifatto il server di dominio e da quel momento non è più possibile settare alcune politiche sulle directory condivise.

Ho creato diverse directory condividendole tutte col profilo everyone in quanto, se aggiungo i vari utenti interessati a tali directory e disabilito il profilo everyone, al tentativo di entrare in queste directory mi appare il messaggio Accesso negato.
Il fatto è che tali utenti sono tutti sotto dominio ma è negato loro l'accesso: quale potrebbe essere il motivo ?

grazie

[BTS]

parlando di utenti stai impostando gli accessi NTFS.

ma quelli di sharing li hai impostati?

[misterx]

Quote:

Originariamente inviato da BTS

parlando di utenti stai impostando gli accessi NTFS.

ma quelli di sharing li hai impostati?

ciao,
dunque, le directory sono condivise ma ho scoperto casualmente che se si aggiunge un utente e non si elimina everyone, i profili dell'utente e quello di everyone vanno in una sorta di conflitto.

Alla fine ho eliminato everyone ma solo dopo aver aggiunto l'utente e tutto sembra funzionare, almeno per ora

[BTS]

non vanno in conflitto, si uniscono ed è la negazione a prevalere


se everyone è negato, TUTTI (anche administrator) non hanno accesso

se everyone è il sola lettura ed un utente è negato... lui non accede



se invece everyone non appare... è tutto più chiaro per chi non è ferrato sulle ACL come te...

[misterx]

Quote:

Originariamente inviato da BTS

non vanno in conflitto, si uniscono ed è la negazione a prevalere


se everyone è negato, TUTTI (anche administrator) non hanno accesso

se everyone è il sola lettura ed un utente è negato... lui non accede



se invece everyone non appare... è tutto più chiaro per chi non è ferrato sulle ACL come te...

considerando che sto imparando solo smanettando mi ritengo abbastanza soddisfatto dei risultati.
Di sicuro tu avrai a disposizione la documentazione che io non riesco a trovare

Ad ogni modo a me interessa che solo chi ha i privilegi deve poter aprire le cartelle, gli altri non devono potervi accedere anzi, sarebbe ideale che non venissero nemmeno visualizzate da chi non è nelle lista dei privilegiati, in questo modo non ti viene la tentazione di cliccarci sopra.

[misterx]

poi, da sbadato che sono, ho notato che esiste Condivisionee Protezione dove la prima si riferisce alla rete e la seconda al locale. Se non ho capito male prevale sempre la seconda sulla prima.

[BTS]

diciamo che è buona consuetudine impostare i diritti di sharing a "everyone full control" e poi successivamente impostare i diritti NTFS utente per utente... meglio ancora gruppo per gruppo


ovvero nel dominio creare 2 gruppi di utenti per la cartella condivisa (esempio amministrazione)


cartellaamministrazioneR e cartellaamministrazioneF

cioè Read e Full controll

poi mettere i giusti utenti o gruppi all'interno, tornare nella cartella, cancellare i diritti esistenti ed impostarli con i soli 2 gruppi appena creati


ovviamente senza perdere administrator

[misterx]

Quote:

Originariamente inviato da BTS

diciamo che è buona consuetudine impostare i diritti di sharing a "everyone full control" e poi successivamente impostare i diritti NTFS utente per utente... meglio ancora gruppo per gruppo

adesso a livello di condivisione ho provato ad aggiungere solo gli utenti desiderati ed eliminare il solito everyone; poi a livello NTFS ho lascato everyone full control ma sinceramente non mi è chiaro se così è più o meno sicuro.

In definitiva a me sembra che si possa agire in modi differenti ma sinceramente quale sia il più sicuro no lo so.

Mi rimane ancora il prblema di come non far visualizzare le cartelle a quegli utenti che no compaiono nei rispettivi gruppi.



A naso sembrerebbe più sicura la tua soluzione:
- a livello condivisione lasciare everyone
- a livello NTFS (protezione) assegnare i singoli utenti

[BTS]

è quello che dicevo io...

[slowped]

Quote:

Originariamente inviato da misterx

Mi rimane ancora il prblema di come non far visualizzare le cartelle a quegli utenti che no compaiono nei rispettivi gruppi.

Non mi è ben chiaro che cosa vuoi fare. Probabilmente intendi che nell'elenco delle condivisioni di un determinato server il nome di una cartella condivisa sia visibile solo agli utenti che hanno i privilegi di lettura, come hai scritto in un altro messaggio:

Quote:

gli altri non devono potervi accedere anzi, sarebbe ideale che non venissero nemmeno visualizzate da chi non è nelle lista dei privilegiati

Quest'ultima cosa non è fattibile. Anche negando l'accesso a tutti gli utenti la condivisione sarebbe comunque visibile nell'elenco delle cartelle condivise. Se vuoi renderla invisibile devi aggiungere il carattere "$" alla fine del nome della condivisione. Per esempio se vuoi che la condivisione "pippo" sia invisibile devi chiamarla "pippo$".
Occhio che così facendo diventa invisibile per tutti; la condivisione continuerà ad esistere e a essere accessibile agli aventi diritto solo che non comparirà più nell'elenco. Per accedervi bisognerà utilizzare la notazione UNC. Per esempio se la condivisione di cui sopra è condivisa dal server "pluto" per accederci bisognerà digitare

Codice:

\\pluto\pippo$

[misterx]

Quote:

Originariamente inviato da slowped

Non mi è ben chiaro che cosa vuoi fare. Probabilmente intendi che nell'elenco delle condivisioni di un determinato server il nome di una cartella condivisa sia visibile solo agli utenti che hanno i privilegi di lettura, come hai scritto in un altro messaggio:



Quest'ultima cosa non è fattibile. Anche negando l'accesso a tutti gli utenti la condivisione sarebbe comunque visibile nell'elenco delle cartelle condivise. Se vuoi renderla invisibile devi aggiungere il carattere "$" alla fine del nome della condivisione. Per esempio se vuoi che la condivisione "pippo" sia invisibile devi chiamarla "pippo$".
Occhio che così facendo diventa invisibile per tutti; la condivisione continuerà ad esistere e a essere accessibile agli aventi diritto solo che non comparirà più nell'elenco. Per accedervi bisognerà utilizzare la notazione UNC. Per esempio se la condivisione di cui sopra è condivisa dal server "pluto" per accederci bisognerà digitare

Codice:

\\pluto\pippo$

grazie 1000 per le tue indicazioni.
Ora ho un altro problema: lascio di default nella condivisione everyone con tutto concesso, a livello NTFS aggiungo gli utenti che mi interessano ed elimino everyone in quanto chi non è nella lista non deve poter far nulla; a questo punto aggiungo anche l'utente administrator ed andadno su una macchina il cui profilo non è amministratore mi fa entrare in quella particolare cartella: che sta succedendo ?


Lo so BTS, era solo una verifica per vedere se avevo capito, grazie 1000

[slowped]

Quote:

Originariamente inviato da misterx

andadno su una macchina il cui profilo non è amministratore mi fa entrare in quella particolare cartella: che sta succedendo ?

Con quale nome utente hai fatto logon sulla macchina con cui accedi alla condivisione?

[misterx]

Quote:

Originariamente inviato da slowped

Con quale nome utente hai fatto logon sulla macchina con cui accedi alla condivisione?

col nome di un utente non amministratore ma che è sotto dominio

[misterx]

comunque ho notato che esistono:
- Administrator/builtin
- Administrator/user

dei quali mi sfugge la differenza

[misterx]

anzi, mi correggo: settando Administrators/builtin entra chiunque, settando incece Administrator/user le cose sembrano funzionare in modo corretto

[BTS]

secondo me stai facendo del casino.

hai 2 possibilità: o crei 2 gruppi uno da associare in lettura e l'altro in scrittura

o direttamente gli utenti uno ad uno impostati nei diritti NTFS della cartella condivisa.

[misterx]

Quote:

Originariamente inviato da BTS

secondo me stai facendo del casino.

hai 2 possibilità: o crei 2 gruppi uno da associare in lettura e l'altro in scrittura

o direttamente gli utenti uno ad uno impostati nei diritti NTFS della cartella condivisa.

non credo proprio di fare casino visto che ho ereditato un sistema caotico
Come setto da linea di comando i vari privilegi, col vecchio attrib ?

E poi mi parlano male di linux

[misterx]

è possibile settare condivisioni e privilegi via script ?

[BTS]

via prompt devi usare cacls


via script? cosa logon script? ma non ha senso... se li imposti nelle cartelle, non hanno bisogno di essere refreshati. al massimo basta un logoff/logon dell'utente senza usare script.


il logon script viene usato per mappare percorsi di rete generalmente

[misterx]

Quote:

Originariamente inviato da BTS

via prompt devi usare cacls

interessante cacls col quale credo si possano creare dei file batch. Il mio problema è che ho dozzine di directory e un centinaio di utenti, sistemarli tutti non è banale.
Tieni presente che prima era configurato tutto sotto linux, ora per motivi che non sto a discutere si è passati a windows server.

grazie per l'informazione, ci studio sopra