File server di Windows e ABE

Sto avviando la creazione di un nuovo file server di Windows 2008R2 e ho alcune problematiche con Access Based Enumaration.

Non voglio solo migrare tutti i dati e le autorizzazioni poichè la nostra struttura è cresciuta nel corso degli ultimi 15 anni e per essere onesti è un disordine. Quindi sto cercando di mettere tanto impegno in questo ansible.

  • Consenti solo RemoteApp, non Desktop remoto
  • Imansible creare una condivisione sul server remoto senza diritti di amministratore sul server locale
  • Imansible visualizzare le voci in Accesso applicazioni Visualizzatore events
  • TCP Reset Query
  • Outlook di Exchange 2010 ovunque - mostra l'URL interno
  • Come impostare correttamente più indirizzi IP che puntano a un'istanza in EC2?
  • Ho impostato un DFS-N (Dati) basato sul dominio where vengono pubblicate le condivisioni per each reparto (dept1 to dept 4). Durante la verifica (sì, abbiamo un ambiente di test! Fortunatoci!) Ho imbattuto in un bug (?) Riguardante l'emissione di Access Based. Il permesso sarà gestito attraverso l'annidamento di diversi gruppi permissivi. Il mio problema è che l'aggiunta di un utente a un gruppo specifico per una sottodirectory non consente di visualizzare / attraversare le directory padre.

    ABE è abilitata sia sul fileshare che sul DFS-N.


    Ho creato la seguente struttura di directory:

    \\DFSRoot\Data\ +---dept1 | +---dir1 | | +---sub1 | | \---sub2 | +---dir2 | +---dir3 | | +---sub1 | | \---sub2 | \---dir4 +---dept2 | +---dir1 | +---dir2 | +---dir3 | \---dir4 +---dept3 | +---dir1 | +---dir2 | +---dir3 | \---dir4 +---dept4 | +---dir1 | +---dir2 | +---dir3 | \---dir4 \---dept5 +---dir1 | +---sub1 | \---sub2 +---dir2 +---dir3 \---dir4 +---sub1 \---sub2 

    Per each directory ho creato 3 gruppi:

    Quindi per \\ DFSroot \ Data \ dept1 questo sarebbe

     dl-dept1-list dl-dept1-ro dl-dept1-rw 

    Per \\ DFSroot \ Data \ dept1 \ dir1

     dl-dept1-dir1-list dl-dept1-dir1-ro dl-dept1-dir1-rw 

    E per \\ DFSroot \ Data \ dept1 \ dir1 \ sub1

     dl-dept1-dir1-sub1-list dl-dept1-dir1-sub1-ro dl-dept1-dir1-sub1-rw 

    Per tutto il resto anche questo schema si applica.

    Per each directory i gruppi corrispondenti sono membri del gruppo di elenco alla directory successiva di livello superiore. Così

     dl-dept1-dir1-sub1-list dl-dept1-dir1-sub1-ro dl-dept1-dir1-sub1-rw 

    sono membri di dl-dept1-dir1-list

    L'inheritance; non è rotta. Questi gruppi RO / RW hanno la rispettiva authorization per la loro cartella e each sottodirectory all'interno.

    I gruppi di elenchi dispongono di autorizzazioni speciali -> ListDirectory, ReadAttributes, ReadPermissions, Traversa -> Questa cartella

    Se aggiungo $ User a dl-dept1-dir1-sub1-rw per concedere l'authorization R / W a \\ DFSroot \ Data \ dept1 \ dir1 \ sub1 l'utente è in grado di accedere alla condivisione dept1 (membri di dl-dept1-list ) ma non vede nessuna directory. $ L'utente non può accedere a dir1 tramite path UNC. $ L'utente può accedere a sub1 tramite il path UNC.

    Se ABE è distriggersto sulla condivisione $ l'utente può passare le directory senza problemi.

    A questo punto sono bloccato e non vedo quello che mi manca.

    Forse uno di voi può aiutare. Grazie in anticipo.

    One Solution collect form web for “File server di Windows e ABE”

    L'avevo capito. Il mio problema era un'authorization speciale mancante. I gruppi LIST devono leggere gli attributi estesi per ABE per funzionare.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.