A făcut o partajare de fișiere „Partajări” într-un folder direct sub un hard disk (să-i spunem E:) într-o casetă Windows Server 2016.
Serverul face parte din domeniul „domain.com”.
Permisiuni de partajare - Toată lumea: control total.
Permisiuni NTFS - A lăsat permisiunile implicite
(Însemnând că are intrări pentru SISTEM, CREATOR OWNER, Administratori.
Am adăugat și administratori de domeniu, care ar trebui să fie irelevante pentru ceea ce urmează.)
2 subdosare ale acelei partajări,
share1 - Permisiuni NTFS adăugate: [email protected] (control total)
share2 - Permisiuni NTFS adăugate: [email protected] (control total).
user1 și user2 sunt utilizatori neprivilegiati.
Ceea ce m-aș aștepta în acea configurare este ca user1 să poată vizualiza, edita, modifica totul în share1, dar nu poate vedea sau chiar enumera elementele din share2, cu atât mai puțin să le editeze.
Și echivalent pentru user2.
Cu toate acestea, ceea ce se întâmplă este că atât user1, cât și user2 pot vizualiza și citi fiecare folder și fișier în ambele share1 și share2. Ei nu pot modifica fișierele, dar le pot citi. Cu toate acestea, nu le-am dat vreodată permisiunea să facă acest lucru. Nu vreau ca ei să citească fișiere sau chiar să le poată enumera.
Dacă rulez „Acces efectiv” din fila Avansat din fereastra Securitate, aceasta oferă exact aceeași imagine. Interzice modificarea, dar nu Citirea.
Ceea ce am observat este că permisiunile implicite pentru hard disk-ul E: în sine includ intrări pentru utilizatorii LOCAL:
servername\Utilizatori
Și au permisiuni de citire/scriere și listă etc. Și moștenesc fiecare subdosar, inclusiv share1 și share2
Când schimb permisiunile acestor utilizatori locali direct pe hard disk la „numai acest folder”, atunci permisiunile nu mai sunt moștenite pe toate subfolderele.
ȘI APOI DISTRIBUȚIA SE COMPORTĂ AșA cum m-aș fi așteptat:
- Utilizatorul1 poate vizualiza/edita fișiere în share1, dar nu poate vedea share2.
- Utilizatorul 2 poate vizualiza/edita fișiere în share2, dar nu poate vedea share1.
Deci, după această introducere lungă, iată întrebarea mea:
Cum se face că acel cont de utilizator LOCAL interferează cumva cu permisiunile utilizatorilor de domeniu anume?
Este ca și cum utilizatorii domeniului ar fi „mapați” la grupul de utilizatori local „nume server\Utilizatori”, dar are acest lucru vreun sens? Sau se întâmplă altceva aici?