Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Windows Новый топик    Ответить
 Users не в группе Domain Users  [new]
Михаил Фв
Member

Откуда:
Сообщений: 187
Добрый день всем!

Помогите, пожалуйста, определить статус описанной мною тут ситуации: если я прав - это серьёзная проблема Windows, если нет - подскажите, где я ошибаюсь.

Ситуация:

Необходимо предоставить доступ пользователям чужого домена (например, DomainВ) к одной (или очень небольшому количеству папок) общей папке на сервере из DomainA.

1) Для пользователей домена В создаю группу в домене А - например, TESTERS и добавляю туда новых пользователей (UserB1, UserB2).

2) Даю полный NTFS доступ этой группе к папке Common по адресу: "\\serv01\Docs\Reglaments\Common" на сервере serv01 (из домена А) и полный share-доступ на саму расшаренную папку \\serv01\Docs.

Т.к. многие общие ресурсы домена А имеют разрешения (разрешающие) для группы Domain Users, то для предотвращения доступа пользователей UserB1 и UserB2 к этим ресурсам я удаляю этих пользователей из группы Domain Users домена А.
Таким образом, учётные записи DomainA\UserB1 и DomainA\UserB2 входят ТОЛЬКО В ОДНУ ЕДИНСТВЕННУЮ ГРУППУ - DomainA\TESTERS.

Результат ожидаемый: для DomainA\UserB1 и DomainA\UserB2 будет доступна только одна единственная папка Common, и открыть её можно будет ТОЛЬКО через м.Пуск-Выполнить-\\serv01\Docs\Reglaments\Common, т.к. прав на чтение папок \\serv01\Docs\ и \\serv01\Docs\Reglaments\ у этих пользователей нет.

Результат наблюдаемый: DomainA\UserB1(2) может открывать, читать, запускать файлы из всех папок по пути \\serv01\Docs\Reglaments\Common: т.е. и из Docs и из Reglaments, хотя разрешений на них нет никаких (объяснять данное поведение правом Bypass Traverse Checking некорректно, т.к. оно не даёт прав на чтение/запуск, см. http://technet.microsoft.com/en-us/library/cc739389.aspx)

После включения аудита в журнале serv01 генерируются события 560 где написано, что пользователь DomainA\UserB1 открыл/запустил и т.д папку Reglaments, разные файлы из Reglaments и т.д. (и из Docs, конечно, тоже).

----------------------------------------------------------------------------------

Предположение: несмотря на удаление пользователей из Domain Users они всё-таки остались там в каком-то неявном виде.

Опровержение: DomainA\UserB1(2) не может попасть ни в одну общую папку до тех пор, пока в "share"-разрешениях не указать явно группу TESTERS.

Т.е. такое ощущения, что отсутствие тоукена Domain Users у членов группы TESTERS в разрешениях удалённого доступа ("share-разрешения") интерпретируется правильно, а в разрешениях NTFS - нет.

Аналогичная проблема обсуждалась здесь:
http://www.derkeiler.com/pdf/Newsgroups/microsoft.public.windows.server.security/2006-06/msg00182.pdf

но решения этого вопроса там нет.

Более того, когда-то я раньше уже делал такой доступ на Win2000 Serv - насколько я помню, всё работало. Сейчас у меня Win2K3 R2 SP2.


Пожалуйста, не пишите про другие возможные способы предоставления доступа - вопрос именно в несоответствии ожидаемого и полученного результатов.

Заранее всем спасибо,
Михаил
19 июн 09, 16:59    [7322167]     Ответить | Цитировать Сообщить модератору
 Re: Users не в группе Domain Users  [new]
Sergey Orlov
Member

Откуда: СПб
Сообщений: 4445
Михаил Фв,
Может дело в следующем, посмотрите разрешения на каталог, который вы делаете сетевым ресурсом, а также на те разрешения, которые у нее наследуются сверху, там по умолчанию наверняка стоит группа EveryOne, которая может читать и запускать...
Для такого случая действительные права, которые получает пользователь проверяются через закладку Effective permissions...
19 июн 09, 18:20    [7322709]     Ответить | Цитировать Сообщить модератору
 Re: Users не в группе Domain Users  [new]
Михаил Фв
Member

Откуда:
Сообщений: 187
Сергей, спасибо за ответ!

У меня на "корневых" общих ресурсах разрешения задаются все явно, наследование с уровня дисков отключено, хотя, конечно, проверю ещё раз.

Михаил
19 июн 09, 20:08    [7323055]     Ответить | Цитировать Сообщить модератору
 Re: Users не в группе Domain Users  [new]
Gerros
Member

Откуда: Харьков
Сообщений: 503
Михаил Фв
Необходимо предоставить доступ пользователям чужого домена (например, DomainВ) к одной (или очень небольшому количеству папок) общей папке на сервере из DomainA.
Домены в одном лесу или в разных ?
Михаил Фв
Таким образом, учётные записи DomainA\UserB1 и DomainA\UserB2 входят ТОЛЬКО В ОДНУ ЕДИНСТВЕННУЮ ГРУППУ - DomainA\TESTERS.
Ещё раз: DomainA\UserB1 или DomainB\UserB1 ?
20 июн 09, 00:21    [7323534]     Ответить | Цитировать Сообщить модератору
 Re: Users не в группе Domain Users  [new]
Biz©
Member

Откуда: Snezhinsk
Сообщений: 5687
ничего не пнял ... если организуется доступ пользователей домена B к ресурсам домена A, то почему по всему тексту у качестве проверяемых проходят узеры DomainA\UserB1 и DomainA\UserB2 ? это узеры домена A, а не B ...
и не должны пользователи присутствовать в группе domain users не своего домена => кто и откуда удалялся непонятно ...
20 июн 09, 19:28    [7324603]     Ответить | Цитировать Сообщить модератору
 Re: Users не в группе Domain Users  [new]
Михаил Фв
Member

Откуда:
Сообщений: 187
Извините, не уточнил: я создал для пользователей из домена B учётные записи в домене А: DomainA\UserB1 и DomainB\UserB2, а также группу TESTERS (тоже в домене А) и поместил в эту группу DomainA\UserB1 и DomainB\UserB2.
22 июн 09, 10:47    [7326655]     Ответить | Цитировать Сообщить модератору
 Re: Users не в группе Domain Users  [new]
Biz©
Member

Откуда: Snezhinsk
Сообщений: 5687
Михаил Фв
Извините, не уточнил: я создал для пользователей из домена B учётные записи в домене А: DomainA\UserB1 и DomainB\UserB2, а также группу TESTERS (тоже в домене А) и поместил в эту группу DomainA\UserB1 и DomainB\UserB2.

это не соответствует вашему ТЗ ...
поместите в группу DomainA\TESTERS узеров DomainB\UserB1(2) и тестируйте их доступ к открытым ресурсам домена A ...
22 июн 09, 14:55    [7328715]     Ответить | Цитировать Сообщить модератору
 Re: Users не в группе Domain Users  [new]
Biz©
Member

Откуда: Snezhinsk
Сообщений: 5687
Biz©
Михаил Фв
Извините, не уточнил: я создал для пользователей из домена B учётные записи в домене А: DomainA\UserB1 и DomainB\UserB2, а также группу TESTERS (тоже в домене А) и поместил в эту группу DomainA\UserB1 и DomainB\UserB2.

это не соответствует вашему ТЗ ...
поместите в группу DomainA\TESTERS узеров DomainB\UserB1(2) и тестируйте их доступ к открытым ресурсам домена A ...

пользователи должны работать в _своих_ доменах ... убейте созданные аккаунты в чужих доменах ...
22 июн 09, 14:56    [7328726]     Ответить | Цитировать Сообщить модератору
Все форумы / Windows Ответить