Userbase

Ik ben gene krak in ntfs rechten en zou onderstaande moeten kunnen implementeren

Ik heb volgende structuur

\map1\map2\map3\map4\files

Een gebruikers groep

- heeft toegang tot map1
- heeft toegang tot map 4 en de files hierin
- heeft geen toegang tot map2 en inhoud en map3 en inhoud

We bereiken via een shortcut de folder Map4 , deze shortcut wordt gecreëerd

Wat is de ideale manier om zoiets te bestelligen ??

Het is best practice om niet met rechten te gaan spelen op zo'n diep niveau (zeker dan nog in dit geval waar de rechten niet hiërarchisch worden geïmplementeerd). Probeer zo veel mogelijk te bekomen dat je enkel rechten toekent op root niveau en eventueel 1 niveau daaronder. Indien niet mogelijk, probeer dan na te denken of de folder structuur op een andere manier kan herschikt worden. Denk ook bv aan iemand die dit moet gaan ondersteunen (zeker wanneer dit soorten zaken op grote schaal toegepast worden).

Dit gezegd zijnde, als je dit toch wil doen moet je ervoor zorgen dat je groep tenminste "traverse" rechten heeft op map2 en map3. Dit is niet 1 van de basic permissions dus daarvoor moet je in de advanced view gaan.

Ik ga altijd 3 niveau's diep. Root / SubFolder / De rest. Root = RO & RW zonder inheritance, Subfolder is List, RO/RW zonder inheritance, vanaf daaronder is het ook List, RO of RW maar dan mét inheritance. Komt neer op Organisatie/Afdeling/Subteams structuur

Voor de TS, List en Inheritance is wat je nodig hebt. Om tot op Map4 te geraken heeft de user Folder List nodig (zonder inheritance best) op de bovenliggende structuur.

Sasuke schreef:Ik ga altijd 3 niveau's diep. Root / SubFolder / De rest. Root = RO & RW zonder inheritance, Subfolder is List, RO/RW zonder inheritance, vanaf daaronder is het ook List, RO of RW maar dan mét inheritance. Komt neer op Organisatie/Afdeling/Subteams structuur

Voor de TS, List en Inheritance is wat je nodig hebt. Om tot op Map4 te geraken heeft de user Folder List nodig (zonder inheritance best) op de bovenliggende structuur.

"List" is al meer dan nodig voor de use case van de topic starter. Want dat wil zeggen dat je file en folder names van map2 en map3 kan zien. Mogelijk is dat niet gewenst omdat men met een shortcut werkt om van map1 naar map4 te gaan. Maar uiteraard werkt jouw oplossing op zich ook natuurlijk.

Mja, kennis leek me niet heel diepgaand en "traverse" zit enkel onder advanced/advanced

Als je rechten hebt op map4, en je gaat daar rechtstreeks naartoe (zoals de TS zegt met een shortcut) dan heb je op geen enkele andere bovenliggende folder rechten nodig.

heb het nu gedaan met traverse en dit werkt.

Ondervonden als je een directe shortcut gebruikte je een foutmelding kreeg op een map met geen rechten.

Via traverse lukt dit dus wel

selder schreef:Als je rechten hebt op map4, en je gaat daar rechtstreeks naartoe (zoals de TS zegt met een shortcut) dan heb je op geen enkele andere bovenliggende folder rechten nodig.

Je hebt traverse nodig hoor !

Traverse is een recht dat je nodig hebt (een user moet vanuit de root naar je subfolder geraken), maar niet hoeft te zetten omdat de default GPO instellingen zo zijn dat traverse automatisch aan iedereen toegekend wordt.

Je structuur trekt verder op niks, als ik het zo sterk mag uitdrukken.
Rechten worden altijd best ingesteld op parent folders, en dan via inheritance naar beneden.
Access geven tot een hoofdfolder, dan niet tot 2 niveaus van subfolders, en dan weer wel voor niveau 3, is het moeilijk maken.
Dan moet je inheritance gaan breken (niet de mooiste oplossing), explicit deny opzetten (ugly and not done!), of je folder herstructureren (wss de beste oplossing).

ITNetadmin, op een client wel, op een server niet

Dan is dat recent veranderd (2019?), want ik moet al jaaaaren geen traverse rechten meer instellen.

Hangt ervanaf waar je begint denk ik, maar dat Traverse een standaard recht was wist ik dan weer niet ?

Denk niet dat er verschil is in NTFS ACL’s of die nu door een server-os of een client-os worden toegepast, bestandsstructuur is 100% hetzelfde, er is geen “server-ntfs” en “client-ntfs”.

Ik herinner me krak dezelfde met een collega, en die kwam uiteindelijk tot dezelfde conclusie, je moet geen rechten hebben op een bovenliggende folder als je tot de folder waar je rechtstreeks (path intypen, copy/pasten, shortcut naar die folder via het UNC path,....) naartoegaat.

Traverse is een recht dat in theorie expliciet moet aangeduid worden op een hoofdfolder, om een user toegang te geven tot een subfolder van die hoofdfolder.
Maar... Er is een GPO setting genaamd "bypass traverse checking", die de traverse rechten onnodig maakt.
Die setting wordt in minder security kritieke omgevingen gebruikt als optimization, omdat het systeem anders altijd alle rechten tem de root folder moet checken.

Ik citeer nog effe dit:

On Windows workstations and servers, the Bypass Traverse Checking user right is given to members of the Administrators, Backup Operators, Users, and Everyone groups by default. On domain controllers (DCs), the user right is given to members of the Administrators and Authenticated Users groups by default. In a Windows Active Directory (AD) environment, you can centrally control who is granted the Bypass Traverse Checking user right by configuring the corresponding Group Policy Object (GPO) setting in the Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment GPO container

Juist ... die gaat standaard uit bij ons in ons default Security hardening script dat we al lang gebruiken ... dus ja ... niet meer bij stilgestaan.
Dat er geen client NTFS en server NTFS bestaat ... nu ja .. lekentermen zeker Het ging hier over een GPO met traverse recht, en ik dacht dat die GPO misschien alleen op Workstations standaard actief staat omdat ik "m niet kende. Maar inderdaad ... hij bestaat ... maar staat dus af bij ons.

ITnetadmin schreef:
Je structuur trekt verder op niks, als ik het zo sterk mag uitdrukken.

Het is een cadeau dat ik gekregen heb . . . Voorlopig overbrug ik zo.

Een nieuwe structuur is voor 4de kwartaal , heb nog andere schone cadeaus gekregen welke eerst aan beurt komen

helmuteke schreef:

ITnetadmin schreef:
Je structuur trekt verder op niks, als ik het zo sterk mag uitdrukken.

Het is een cadeau dat ik gekregen heb . . . Voorlopig overbrug ik zo.

Een nieuwe structuur is voor 4de kwartaal , heb nog andere schone cadeaus gekregen welke eerst aan beurt komen

Ik heb ooit is een project "migratie fileserver" gekregen van een senior system engineer vlak voor die op verlof vertrok, denk dat die zo dacht dat ik niet kon weigeren .... Jarenlange bricolage op 1 server . Memories .