null

Создание сервиса личных папок для пользователей

Сервис личных папок для пользователей.

 

У одного из заказчиков потребовалось создать сервис, позволяющий пользователям хранить различные личные файлы, необходимые для работы, на серверной инфраструктуре.

Это позволяет включить их в централизованное резервное копирование(машины пользователей не бэкапятся), отслеживать вирусную активность и т.д., а также позволяет пользователям иметь доступ к нужным файлам независимо от наличия под рукой конкретного экземпляра ноутбука или десктопного компьютера.

С целью облегчения ориентирования пользователей в каталогах и обеспечения информационной безопасности было решено создать сервис, используя access-based enumeration (ABE). При этом пользователи видят только те каталоги, к которым у них есть доступ.

Чтобы снизить нагрузку на обслуживающих инфраструктуру лиц, личную папку создает каждый пользователь сам, называя ее согласно своему логину. В связи с этим встает вопрос настройки прав доступа определенным образом, и о том, как это сделано будет рассказано в данной заметке.

Идем в Computer management -> Shared folders -> New Share

Создаем новую шару, например Workfiles.

Конкретные права доступа, указанные в мастере создания шары, в данный момент особой роли не играют(мы настроим их позднее), но в данном случае было выбрано:

Далее необходимо отключить наследование прав для создаваемой папки, и все унаследованные права изменить на явные:

Change permissions -> Disable inheritance -> Convert inherited permissions into explicit permissions on this object.

Далее настраиваем права доступа на папку(на уровне файловой системы) следующим образом:

Теперь необходимо настроить права доступа на уровне шары, для чего идем в Computer management -> Shared folders и проверяем права, выставив их следующим образом:

Снова идем в свойства созданной папки, проверяем чтобы все настроенные права доступа на уровне NTFS применялись ТОЛЬКО к самой папке, без вложенных каталогов и файлов:

 

Это чрезвычайно важный пункт, иначе пользователи смогут менять файлы и папки, созданные другими пользователями, что недопустимо.

Итак, после выполнения данных пунктов получаем шару, доступ к которой имеют все пользователи, однако из-за отключенного наследования в этом каталоге все созданные файлы и папки смогут менять только их владельцы(создавшие их пользователи), а также администраторы.

В дальнейшем осталось настроить отображание только доступных файлов (access-based enumeration) и фильтры на типы файлов, а также квоту на папки пользователей, чтобы они не могли превысить определенный размер. Последующая настройка будет рассмотрена в следующей заметке.

 

 

Коротко о себе:

Работаю инженером в компании Tune IT.

Ничего не найдено. n is 0