Windows Server 2012R2 fájl és megosztás jogosultság probléma

Microsoft Windows

Adott egy friss telepítésű 2012R2 szerver. Közönséges fájl megosztásra használnák, illetve RDP szervernek (AD nélkül), ezek vannak feltelepítve, illetve természetesen amit hoz magával.
A problémám, hogy egy megosztott mappára sehogy sem tudom a jogosultságokat rendesen beállítani. Nem csak a megosztáson keresztül, helyileg sem. Elméletileg rendben van. Ha az effektíveket megnézem, akkor is. Gyakorlatilag viszont nem lehet hozzáférni.
Példa: rendszergazdák csoport a tulaj, rendszergazdáknak full hozzáférése van. Az én userem benne van ebbe a csoportba, mégsem férek hozzá. Ugyanígy a kolléga usere sem. A backup SYSTEM userként fut, az sem fér hozzá. De a Rendszergazda, aki szintén benne van, hozzáfér. Ha pl. hozzáadom explicit a saját useremet a kérdéses könyvtárhoz, akkor hozzáférek.
Ha jogosultságokat akarom a saját useremmel megnézni, akkor kiírja hogy nincs engedélyem, majd a kis pajzsos engedélykérés után meg tudom nézni.
A megosztott könyvtárakat úgy szoktam beállítani, hogy a megosztási jogoknál Mindenki teljes hozzáférés, és NTFS jogoknál állítom, mert így csak egy helyen kell. Ekkor volt olyan, hogy egy user, aki benne volt egy olyan csoportba, akinek csak olvasási joga volt, tudott írni a könyvtárba.
Aztán van még olyan, hogy részlegesen írásvédett a könyvtár, kiveszem, apply, végigdarálja, bezárom, majd ha újranyitom, ugyanúgy ott van. Ettől függetlenül mindent lehet vele csinálni.
Fingom sincs mi ez... Eddig nem láttam még ilyet. Ugyanez a helyzet ha egy új könyvtárat csinálok, akár másik partíción. Már arra is gondoltam, hogy elment az NTFS szarni, újraformáztam a kötetet full format-tal, nem lett jobb...

  • 6126 megtekintés

( ricpet | 2015. 03. 24., k – 13:47 )

Az UAC okozhat ilyet. A lényeg röviden, hogy hiába vagy tagja a Rendszergazdák csoportnak, a jogosultságokat úgy értékeli ki, mintha mégsem lennél tagja. Kivéve, ha a "pajzsos ikonra" kattintottál, akkor átmenetileg figyelembe veszi, hogy tagja vagy a csoportnak. És alapértelmezés szerint a beépített Rendszergazda felhasználó kivétel ez alól.

Szerintem itt semmi köze az emelt jogosultságokhoz a dolognak, a mappába belépésnél pusztán egy csoporttagságot kéne vizsgálnia, tök mindegy hogy hívják.
De ott van a SYSTEM user, akinek a nevében a backup futna, explicit hozzá van adva és full joggal, mégse fér hozzá.

Illetve azt hogy magyarázod meg, hogy van egy vendég user, aki benne van a felhasználók csoportba, a felhasználóknak a könyvtárra csak olvasás és végrehajtás van, a kliensről elérve a megosztás pedig vígan tudtam írni bele meg könyvtárat csinálni?
--
The Community ENTerprise Operating System

Megosztásnál Mindenki: Teljes hozzáféres -> öröklik a jogokat a mindenkiben mindenki benne van ezért ha létre hoztál egy tök8 csoportot és arra tiltottál az semmit se fog érni.Mappa -> Specnél kell levenni az öröklési jogokat majd ott hozzárendeli a felhasználói csoportokat.

Egyrészt nem, mert a tiltás mindig erősebb. Tehát ha valamit engedélyeztél valakinek, aztán valahogy megtiltottad, akkor meg lesz tiltva. Jelen esetben nincs megtiltva. Viszont ha jön egy user hálóról a megosztásra, és írni akar, akkor ugye a samba a megosztási jogok miatt továbbengedi, de valójában ntfs szinten nem lesz joga (vagyis nem kéne). Eddig így ment...
Másrészt természetesen ki van véve az öröklés, különben pl. a Felhasználók csoportot ki se lehetne venni.
--
The Community ENTerprise Operating System

Semmi tiltás nincs, nem szoktam ha nem muszáj.

Konkrétan (az alap csoportokon és usereken kívül):
* van egy share és egy szamlazo csoport
* van harom user, admin1, admin2, admin3, mindhárom tagja a Rendszergazdák csoportnak
* van user1, user2, user3, user4, aki tagja a share és szamlazo csoportnak is
* van vendeg1, vendeg2 user alap tagsággal (Felhasználók)

Megosztások:
E:\install - Csak a Rendszergazdák csoport írhatja, mindenki más csak olvashatja
E:\share - share csoport tagjai írhatják (meg persze a Rendszergazdák), Felhasználó olvashatja
E:\szamlazo - szamlazo csoport tagjai írhatják-olvashatják (meg persze a Rendszergazdák), más nem fér hozzá

Így voltak olyanok, hogy:
- installba simán tudott írni a user
- szamlazohoz adminok nem férnek hozzá, csak ha explicit hozzáadom
--
The Community ENTerprise Operating System

A kérdés, hogy az öröklés ki van-e kapcsolva pl. az E:\install könyvtáron, ÉS az örökölt jogok el vannak-e távolítva. Mert alapból az E:\ meghajtó úgy jön létre, hogy a gyökerében bármelyik felhasználó hozhat létre új könyvtárat, és ezt alapból örökli pl. az E:\install könyvtár is. Ki kell kapcsolni az öröklést, és külön elvenni Advanced nézetben azt a jogot, hogy "Create folders / Append data" és "Create files / write data".

Azt jól gondolom, hogy ezek local userek, tehát nincs Active Directory? Ez okozhatja azt, hogy az admin userek nem férnek hozzá az E:\szamlazo megosztáshoz, nézd meg a http://support.microsoft.com/en-us/kb/951016 oldalt. Ahogy korábban is írtam, az UAC okozhat olyat, hogy a jogosultságok kiértékelésénél nem veszi figyelembe, hogy a Rendszergazdák csoportnak a tagja vagy.

( lpeczi v | 2015. 03. 25., sze – 07:25 )

A megosztás ugyanígy "működik" pl. Win 8.1 Prof. alatt is, akár saját gépről nézve. A helyi mappa kezelhető, de megosztáson keresztül hozzáférhetetlen.

Esetemben két gép (W8.1 és XP) között kellett csak 2 felhasználóval.
A két felhasználó mindkét gépen létezett azonos jelszóval, és mindkettő tagja volt a Rendszergazdák csoportnak is.
XP-XP, Win7-XP alatt ez elég is volt a boldogsághoz, itt nem. Egyszerűen az adott felhasználóknak is jogot adtam a Rendszergazdák csoport mellett és már működött is.
Ez nyilván nem elegáns és nagyobb hálózatban nem megoldás, de itt rendben van.

( rts | 2015. 03. 25., sze – 14:55 )

Amit leírtál, jó. Mivel mégse jó, valószínűleg totál összekavartad már de magadtól is meg tudnád csinálni ha újrakezdenéd.
- "Ha jogosultságokat akarom a saját useremmel megnézni, akkor kiírja hogy nincs engedélyem, majd a kis pajzsos engedélykérés után meg tudom nézni."
-> a szerveren nézve? első komment, leírta miért

-SYSTEM nem fér hozzá
-> fogadjunk hogy nincs joga! :)

- "a megosztási jogoknál Mindenki teljes hozzáférés, és NTFS jogoknál állítom, mert így csak egy helyen kell"
-> Win2012! kezdjük elölről! hozz létre egy új könyvtárat gyökérben (ezt még tuti nem rontottad el:))
-> könyvtáron disable inheritance, convert inherited. file jogokat állítsd be de basic ntfs jogokat csak. (ez elég neked.) NE legyen special (különben így távgyógyban senki nem fogja kibogozni mi a helyzet)
-> _utána_ _simán_ oszd meg, itt ne állíts semmi jogot.
-> (ha módosítod később az ntfs perm.t, auto utána fogja állítani a share perm.t.)
ha még most se jó akkor muta screenshotot.

"-> a szerveren nézve? első komment, leírta miért"
Nyilván a szerveren nézve van ez, hálóról simán access denied.

"-> fogadjunk hogy nincs joga! :)"
De van. http://wstaw.org/m/2015/03/26/plasma-desktopmp2354.png

Többi: OK, ezt majd megpróbálom... Most nem akarom piszkálni, mert úgy tűnik nagyjából jó, és használják..

--
The Community ENTerprise Operating System

( mrceeka v | 2015. 03. 25., sze – 17:12 )

Ha nem domain felhasználók vannak, különös figyelmet igényel, hogy az egyes gépek felhasználói ne keveredjenek össze.
Ugyanabban a workgroupban van az összes PC és a szerver is? Workgroup vagy helyi felhasználókat használtok a bejelentkezéshez.
Van ugyanolyan nevű felhasználó a PC-n és a szerveren is?

Üdv,
Marci

Nekem az a tapasztalatom, hogy a workgroup teljesen mindegy. Az csak akkor számít talán, ha explorerbe akarsz tallózni a hálózaton.
Nincs ugyanolyan user. A kliensen van egy akármilyen, a szerver share-jének felcsatolásához meg beírják azt, amit kaptak.
--
The Community ENTerprise Operating System