Ik ben gene krak in ntfs rechten en zou onderstaande moeten kunnen implementeren
Ik heb volgende structuur
\map1\map2\map3\map4\files
Een gebruikers groep
- heeft toegang tot map1
- heeft toegang tot map 4 en de files hierin
- heeft geen toegang tot map2 en inhoud en map3 en inhoud
We bereiken via een shortcut de folder Map4 , deze shortcut wordt gecreëerd
Wat is de ideale manier om zoiets te bestelligen ??
Ntfs rechten op een folder
-
- Member
- Berichten: 54
- Lid geworden op: 18 jun 2020, 20:19
- Uitgedeelde bedankjes: 14 keer
- Bedankt: 6 keer
Het is best practice om niet met rechten te gaan spelen op zo'n diep niveau (zeker dan nog in dit geval waar de rechten niet hiërarchisch worden geïmplementeerd). Probeer zo veel mogelijk te bekomen dat je enkel rechten toekent op root niveau en eventueel 1 niveau daaronder. Indien niet mogelijk, probeer dan na te denken of de folder structuur op een andere manier kan herschikt worden. Denk ook bv aan iemand die dit moet gaan ondersteunen (zeker wanneer dit soorten zaken op grote schaal toegepast worden).
Dit gezegd zijnde, als je dit toch wil doen moet je ervoor zorgen dat je groep tenminste "traverse" rechten heeft op map2 en map3. Dit is niet 1 van de basic permissions dus daarvoor moet je in de advanced view gaan.
Dit gezegd zijnde, als je dit toch wil doen moet je ervoor zorgen dat je groep tenminste "traverse" rechten heeft op map2 en map3. Dit is niet 1 van de basic permissions dus daarvoor moet je in de advanced view gaan.
- Sasuke
- Elite Poster
- Berichten: 4854
- Lid geworden op: 13 aug 2003, 20:25
- Locatie: Vlaanderen
- Uitgedeelde bedankjes: 153 keer
- Bedankt: 332 keer
- Contacteer:
Ik ga altijd 3 niveau's diep. Root / SubFolder / De rest. Root = RO & RW zonder inheritance, Subfolder is List, RO/RW zonder inheritance, vanaf daaronder is het ook List, RO of RW maar dan mét inheritance. Komt neer op Organisatie/Afdeling/Subteams structuur
Voor de TS, List en Inheritance is wat je nodig hebt. Om tot op Map4 te geraken heeft de user Folder List nodig (zonder inheritance best) op de bovenliggende structuur.
Voor de TS, List en Inheritance is wat je nodig hebt. Om tot op Map4 te geraken heeft de user Folder List nodig (zonder inheritance best) op de bovenliggende structuur.
-
- Member
- Berichten: 54
- Lid geworden op: 18 jun 2020, 20:19
- Uitgedeelde bedankjes: 14 keer
- Bedankt: 6 keer
"List" is al meer dan nodig voor de use case van de topic starter. Want dat wil zeggen dat je file en folder names van map2 en map3 kan zien. Mogelijk is dat niet gewenst omdat men met een shortcut werkt om van map1 naar map4 te gaan. Maar uiteraard werkt jouw oplossing op zich ook natuurlijk.Sasuke schreef:Ik ga altijd 3 niveau's diep. Root / SubFolder / De rest. Root = RO & RW zonder inheritance, Subfolder is List, RO/RW zonder inheritance, vanaf daaronder is het ook List, RO of RW maar dan mét inheritance. Komt neer op Organisatie/Afdeling/Subteams structuur
Voor de TS, List en Inheritance is wat je nodig hebt. Om tot op Map4 te geraken heeft de user Folder List nodig (zonder inheritance best) op de bovenliggende structuur.
- selder
- Moderator
- Berichten: 6305
- Lid geworden op: 29 jun 2005, 20:25
- Locatie: Tienen
- Uitgedeelde bedankjes: 99 keer
- Bedankt: 727 keer
Als je rechten hebt op map4, en je gaat daar rechtstreeks naartoe (zoals de TS zegt met een shortcut) dan heb je op geen enkele andere bovenliggende folder rechten nodig.
Ghost S1 • 8086K @5.2Ghz • Asus ROG Ryuo 240mm • Asus ROG STRIX Z390-I • Corsair Vengeance LPX 2x16GB 3200Mhz • Asus RTX2080Ti Turbo • Samsung 970 EVO 2TB • Asus ROG Swift PG258Q 240Hz • Logitech G Pro keyboard/mouse/headset
-
- Premium Member
- Berichten: 526
- Lid geworden op: 08 feb 2010, 15:36
- Uitgedeelde bedankjes: 3 keer
- Bedankt: 25 keer
heb het nu gedaan met traverse en dit werkt.
Ondervonden als je een directe shortcut gebruikte je een foutmelding kreeg op een map met geen rechten.
Via traverse lukt dit dus wel
Ondervonden als je een directe shortcut gebruikte je een foutmelding kreeg op een map met geen rechten.
Via traverse lukt dit dus wel
-
- Elite Poster
- Berichten: 8445
- Lid geworden op: 28 jan 2012, 18:22
- Uitgedeelde bedankjes: 164 keer
- Bedankt: 618 keer
Traverse is een recht dat je nodig hebt (een user moet vanuit de root naar je subfolder geraken), maar niet hoeft te zetten omdat de default GPO instellingen zo zijn dat traverse automatisch aan iedereen toegekend wordt.
Je structuur trekt verder op niks, als ik het zo sterk mag uitdrukken.
Rechten worden altijd best ingesteld op parent folders, en dan via inheritance naar beneden.
Access geven tot een hoofdfolder, dan niet tot 2 niveaus van subfolders, en dan weer wel voor niveau 3, is het moeilijk maken.
Dan moet je inheritance gaan breken (niet de mooiste oplossing), explicit deny opzetten (ugly and not done!), of je folder herstructureren (wss de beste oplossing).
Je structuur trekt verder op niks, als ik het zo sterk mag uitdrukken.
Rechten worden altijd best ingesteld op parent folders, en dan via inheritance naar beneden.
Access geven tot een hoofdfolder, dan niet tot 2 niveaus van subfolders, en dan weer wel voor niveau 3, is het moeilijk maken.
Dan moet je inheritance gaan breken (niet de mooiste oplossing), explicit deny opzetten (ugly and not done!), of je folder herstructureren (wss de beste oplossing).
Laatst gewijzigd door ITnetadmin op 13 jul 2020, 20:43, 1 keer totaal gewijzigd.
-
- Elite Poster
- Berichten: 8445
- Lid geworden op: 28 jan 2012, 18:22
- Uitgedeelde bedankjes: 164 keer
- Bedankt: 618 keer
Dan is dat recent veranderd (2019?), want ik moet al jaaaaren geen traverse rechten meer instellen.
- selder
- Moderator
- Berichten: 6305
- Lid geworden op: 29 jun 2005, 20:25
- Locatie: Tienen
- Uitgedeelde bedankjes: 99 keer
- Bedankt: 727 keer
Denk niet dat er verschil is in NTFS ACL’s of die nu door een server-os of een client-os worden toegepast, bestandsstructuur is 100% hetzelfde, er is geen “server-ntfs” en “client-ntfs”.
Ik herinner me krak dezelfde met een collega, en die kwam uiteindelijk tot dezelfde conclusie, je moet geen rechten hebben op een bovenliggende folder als je tot de folder waar je rechtstreeks (path intypen, copy/pasten, shortcut naar die folder via het UNC path,....) naartoegaat.
Ik herinner me krak dezelfde met een collega, en die kwam uiteindelijk tot dezelfde conclusie, je moet geen rechten hebben op een bovenliggende folder als je tot de folder waar je rechtstreeks (path intypen, copy/pasten, shortcut naar die folder via het UNC path,....) naartoegaat.
Ghost S1 • 8086K @5.2Ghz • Asus ROG Ryuo 240mm • Asus ROG STRIX Z390-I • Corsair Vengeance LPX 2x16GB 3200Mhz • Asus RTX2080Ti Turbo • Samsung 970 EVO 2TB • Asus ROG Swift PG258Q 240Hz • Logitech G Pro keyboard/mouse/headset
-
- Elite Poster
- Berichten: 8445
- Lid geworden op: 28 jan 2012, 18:22
- Uitgedeelde bedankjes: 164 keer
- Bedankt: 618 keer
Traverse is een recht dat in theorie expliciet moet aangeduid worden op een hoofdfolder, om een user toegang te geven tot een subfolder van die hoofdfolder.
Maar... Er is een GPO setting genaamd "bypass traverse checking", die de traverse rechten onnodig maakt.
Die setting wordt in minder security kritieke omgevingen gebruikt als optimization, omdat het systeem anders altijd alle rechten tem de root folder moet checken.
Ik citeer nog effe dit:
Maar... Er is een GPO setting genaamd "bypass traverse checking", die de traverse rechten onnodig maakt.
Die setting wordt in minder security kritieke omgevingen gebruikt als optimization, omdat het systeem anders altijd alle rechten tem de root folder moet checken.
Ik citeer nog effe dit:
On Windows workstations and servers, the Bypass Traverse Checking user right is given to members of the Administrators, Backup Operators, Users, and Everyone groups by default. On domain controllers (DCs), the user right is given to members of the Administrators and Authenticated Users groups by default. In a Windows Active Directory (AD) environment, you can centrally control who is granted the Bypass Traverse Checking user right by configuring the corresponding Group Policy Object (GPO) setting in the Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment GPO container
- Sasuke
- Elite Poster
- Berichten: 4854
- Lid geworden op: 13 aug 2003, 20:25
- Locatie: Vlaanderen
- Uitgedeelde bedankjes: 153 keer
- Bedankt: 332 keer
- Contacteer:
Juist ... die gaat standaard uit bij ons in ons default Security hardening script dat we al lang gebruiken ... dus ja ... niet meer bij stilgestaan.
Dat er geen client NTFS en server NTFS bestaat ... nu ja .. lekentermen zeker Het ging hier over een GPO met traverse recht, en ik dacht dat die GPO misschien alleen op Workstations standaard actief staat omdat ik "m niet kende. Maar inderdaad ... hij bestaat ... maar staat dus af bij ons.
Dat er geen client NTFS en server NTFS bestaat ... nu ja .. lekentermen zeker Het ging hier over een GPO met traverse recht, en ik dacht dat die GPO misschien alleen op Workstations standaard actief staat omdat ik "m niet kende. Maar inderdaad ... hij bestaat ... maar staat dus af bij ons.
-
- Premium Member
- Berichten: 526
- Lid geworden op: 08 feb 2010, 15:36
- Uitgedeelde bedankjes: 3 keer
- Bedankt: 25 keer
Het is een cadeau dat ik gekregen heb . . . Voorlopig overbrug ik zo.ITnetadmin schreef:
Je structuur trekt verder op niks, als ik het zo sterk mag uitdrukken.
Een nieuwe structuur is voor 4de kwartaal , heb nog andere schone cadeaus gekregen welke eerst aan beurt komen
-
- Premium Member
- Berichten: 472
- Lid geworden op: 14 mei 2004, 00:16
- Uitgedeelde bedankjes: 6 keer
- Bedankt: 26 keer
Ik heb ooit is een project "migratie fileserver" gekregen van een senior system engineer vlak voor die op verlof vertrok, denk dat die zo dacht dat ik niet kon weigeren .... Jarenlange bricolage op 1 server . Memories .helmuteke schreef:Het is een cadeau dat ik gekregen heb . . . Voorlopig overbrug ik zo.ITnetadmin schreef:
Je structuur trekt verder op niks, als ik het zo sterk mag uitdrukken.
Een nieuwe structuur is voor 4de kwartaal , heb nog andere schone cadeaus gekregen welke eerst aan beurt komen