LordAndy Skrevet 21. juni 2005 Rapporter Del Skrevet 21. juni 2005 Har følgende problem/utfordring, håper det er noen Windows 2003 Server mestere der ute Har satt opp en domenekontroller for et tenkt domene, har lagt til ett antall brukere og er nå i gang meg å definere hvilke områder brukerne skal ha tilgang til. Mappestrukturen er som følger: Data |- Users <-- Her ligger brukerområdene |- Felles <-- Fellesområde, alle brukerne skal ha fulle rettigheter (full control) |- Adm <-- Her er det kun en av brukerne som skal ha fulle rettigheter, resten skal ikke kunne aksessere denne mappa Så er spørsmålene da: 1. Hvilke rettigheter må settes på den enkelte bruker for at vedkommende kun skal ha rettigheter til sitt hjemmeområde under mappen users ? Slik det er nå har alle brukerne tilgang til hverandres hjemmeområder. Tro meg, jeg har prøvd å fjerne rettigheter både fra Sharing og fra Security. 2. Hvilke rettigheter må settes på Adm mappa for at kun den ene brukeren skal ha tilgang til dette området ? Håper på svar. Lenke til kommentar
LordAndy Skrevet 21. juni 2005 Forfatter Rapporter Del Skrevet 21. juni 2005 Ja, dessverre Lenke til kommentar
roac Skrevet 21. juni 2005 Rapporter Del Skrevet 21. juni 2005 1. Hvilke rettigheter må settes på den enkelte bruker for at vedkommende kun skal ha rettigheter til sitt hjemmeområde under mappen users ? Slik det er nå har alle brukerne tilgang til hverandres hjemmeområder. Tro meg, jeg har prøvd å fjerne rettigheter både fra Sharing og fra Security. 2. Hvilke rettigheter må settes på Adm mappa for at kun den ene brukeren skal ha tilgang til dette området ? Vet ikke om jeg egentlig bør svare eller ikke, siden jeg strengt tatt gjør deler av fagprøva for deg, men gjør det nå likevel: 1. På mappen som inneholder alle hjemmeområdene: Domain Users: Read Administrators: Full Control * På det aktuelle hjemmeområde: Arvede rettigheter pluss Den aktuelle bruker: Change 2. Aktuell bruker: Change Administrators: Full Control * * Dette bør strengt tatt settes på rotkatalogen på disken, og arves til hele katalogstrukturen på denne. Dersom du ikke har kontroll på rettigheter, vil jeg seriøst anbefale deg å skaffe deg noe litteratur. Bøker til eksamene 70-290 og 70-291 (MCSA-tracket på Windows Server 2003), samt bøker til 70-270 (også MCSA-track, denne eksamen omhandler Windows XP) kan da være et godt kjøp. Datajungelen er blant de bokhandlerene som har greie priser og et rimelig godt utvalg. Lenke til kommentar
kamus Skrevet 21. juni 2005 Rapporter Del Skrevet 21. juni 2005 Med det oppsettet ditt roac, vil ikke alle ha leserettighet til de forskjellige hjemmeområdene....? 1. På mappen som inneholder alle hjemmeområdene: Domain Users: Read Administrators: Full Control * På det aktuelle hjemmeområde: Arvede rettigheter pluss Den aktuelle bruker: Change Jeg regner med at LordAndy heller ikke ønsker at hvem som helst skal kunne lese dokumentene som ligger på de forskjellige hjemmeområdene. Alle er jo medlem by default i Domain users, og slik du har spesifisert det her så vil jo Domain Users arve leserettighet til underkatalogene. Lenke til kommentar
roac Skrevet 22. juni 2005 Rapporter Del Skrevet 22. juni 2005 Med det oppsettet ditt roac, vil ikke alle ha leserettighet til de forskjellige hjemmeområdene....? 1. På mappen som inneholder alle hjemmeområdene: Domain Users: Read Administrators: Full Control * På det aktuelle hjemmeområde: Arvede rettigheter pluss Den aktuelle bruker: Change Jeg regner med at LordAndy heller ikke ønsker at hvem som helst skal kunne lese dokumentene som ligger på de forskjellige hjemmeområdene. Alle er jo medlem by default i Domain users, og slik du har spesifisert det her så vil jo Domain Users arve leserettighet til underkatalogene. Godt poeng, gikk visst litt fort her. Jeg korrigerer dermed mitt utsagn og sier: Hjemmeområde: Administartors: Full Controll Aktuelle bruker: Change Uten å ha arvede rettigheter. Det er også en annen løsning, og det er å tra nytte av brukeres "bypass traverse", som gjør at brukere skal kunne lese informasjon i en katalog (som de har rettigheter på) selv om de ikke har rettigheter på en eller flere av de katalogene denne befinner seg innunder. Dessvere har jeg ikke fått testet dette i praksis. Lenke til kommentar
phnx85 Skrevet 22. juni 2005 Rapporter Del Skrevet 22. juni 2005 Mappen til hjemme området skrur du av arv rettigheter, på security setter du at kun administrator har tilgang til mappen og på sharing setter du slik at "Everyone" har fulle rettigheter til mappen. På Adm mappen, hvor kun en bruker skal ha tilgang skrur du av arv rettigheter og fjerner alle brukerene på security bortsett fra brukeren som skal ha tilgang til mappen. Lenke til kommentar
Nytelse Skrevet 22. juni 2005 Rapporter Del Skrevet 22. juni 2005 (endret) MS standarden er som følger: Share rettigheter skal ALLTID være Full controll (FC) til everyone. Intet annet. Resten fikser du med NTFS rettigheter. Når man legger sammen NTFS og Share rettigheter vil W2K3 alltid velge MEST restriktiv. FC på sharet og NTFS=read gir deg effelktivt read.. Skjønner? 1. Brukere=NTFS Modify. Med FC kan de endre rettigheter selv og stenge administrator ute. 2. Brukere skal aldri ha FC. De skal ha Modify. Med modify kan en bruker opprette/modifisere og slette dokumenter. Legg merke til at brukere også kan slette med rettigheten modify. Med FC kan de endre rettigheter selv og stenge administrator og andre brukere ute. 3. Basert på det du skriver kan du gi den ene brukeren modify på adm mappa. Og evnt gi admnistrator FC. Lykke til :-) Husk at ingenting slår knotting og fukling. Du lærer masse :-) Vennlig hilsen Nytelse MCP, MCSE NT4, MCP+I NT4, MCSA W2K, MCSE W2K, MCSA W2K3, MCT 2005 (kunne ikke dy meg :-) ) ps Glemte en ting. Skal du sette rettigheter på en masse hjemme omeråder finnes det et kjekt lite skript som heter addperm.cmd og addperm2.cmd som MS har laget (søk på Google). Du setter da riktige rettigheter på rundt 700 hjemmeomeråder på 1-2 minutter. Har testet det selv på miljøer med 700, 400 og 270 brukere.. Funker som jernet Endret 22. juni 2005 av Nytelse Lenke til kommentar
slettet Skrevet 22. juni 2005 Rapporter Del Skrevet 22. juni 2005 *beeert* "Everyone" skal IKKJE ha "Full Controll" på sharet, nei (såfremt det ikkje er behov for det, sjølvsagt, men det er tilnærma aldri). Bruk dessutan "Authenticated Users" istadenfor "Everyone". Spør roac eller kamus om kvifor. Dei kan dette skikkeleg. Eg veit berre at korleis, men ikkje kvifor. MCP, MCSE, MCSA & MCT.. Muligens.. Men det er svært lett å utgje seg for å være noko ein ikkje er.. Aldri lurt å briefe.. Det gjer folk enda meir kritisk (unødig kritisk, gjerne) til kva du skriv. Lenke til kommentar
roac Skrevet 22. juni 2005 Rapporter Del Skrevet 22. juni 2005 (endret) MS standarden er som følger:Share rettigheter skal ALLTID være Full controll (FC) til everyone. Intet annet. Resten fikser du med NTFS rettigheter. Når man legger sammen NTFS og Share rettigheter vil W2K3 alltid velge MEST restriktiv. FC på sharet og NTFS=read gir deg effelktivt read.. Skjønner? 1. Brukere=NTFS Modify. Med FC kan de endre rettigheter selv og stenge administrator ute. 2. Brukere skal aldri ha FC. De skal ha Modify. Med modify kan en bruker opprette/modifisere og slette dokumenter. Legg merke til at brukere også kan slette med rettigheten modify. Med FC kan de endre rettigheter selv og stenge administrator og andre brukere ute. 3. Basert på det du skriver kan du gi den ene brukeren modify på adm mappa. Og evnt gi admnistrator FC. Lykke til :-) Husk at ingenting slår knotting og fukling. Du lærer masse :-) Vennlig hilsen Nytelse MCP, MCSE NT4, MCP+I NT4, MCSA W2K, MCSE W2K, MCSA W2K3, MCT 2005 (kunne ikke dy meg :-) ) ps Glemte en ting. Skal du sette rettigheter på en masse hjemme omeråder finnes det et kjekt lite skript som heter addperm.cmd og addperm2.cmd som MS har laget (søk på Google). Du setter da riktige rettigheter på rundt 700 hjemmeomeråder på 1-2 minutter. Har testet det selv på miljøer med 700, 400 og 270 brukere.. Funker som jernet Det viktigste er at ønskede rettigheter blir satt (ikke at en bestemt standard blir fulgt) og at det ikke er noen uønskede bieffekter: Å gi everyone rettigheter ville jeg personlig ikke gjort, jeg ville heller brukt "Authenticated Users". Jeg har sett flere anbefalinger fra Microsoft på det samme. Nmedaas: Å gi full control på share er ikke nødvendigvirs kritisk, og det er en del implementasjoner som gjør nettopp dette. Bakgrunnen for dette er at rettighetene uansett begrenses med NTFS. Min personlige oppfatning er at Administrators alltid skal ha full control. Andre brukere skal maks ha Modify. Hvis du ikke stoler nok på Administrators til dette, burde deler av brukeren uansett skilles ut som et eget domene. Som sagt tidligere, Bypass Traverse Checking skal muliggjøre at brukere får tilgang til underkataloger hvor rettigheter er tilordnet dem, selv om de ikke har rettigheter på katalogen over. Jeg har ikke hatt anledning til å sjekke dette ut, men det vil være interessant da man slipper å hindre arv av rettigheter på hjemmeområder, og samtidig kan hindre brukere å få tilgang til hverandres hjemmeområde. Sertifiseringer er ikke alt, men siden du begynte: MCP MCSA 2000 MCSA:Messaging 2000 MCSA 2003 MCSA:Messaging 2003 MCSA:Security 2003 MCSE 2003 MCSE:Messaging 2003 MCSE:Security 2003 MCDBA MCDST MCT 2005 Network+ Uten dermed sagt at dette sier alt, for noen sertifiseringer er enkle å ta, og noe kompetanse er gjemt innunder MCP. Når alt kommer til alt er vil heller ikke så veldig uenige Endret 22. juni 2005 av roac Lenke til kommentar
Nytelse Skrevet 22. juni 2005 Rapporter Del Skrevet 22. juni 2005 Som sagt tidligere, Bypass Traverse Checking skal muliggjøre at brukere får tilgang til underkataloger hvor rettigheter er tilordnet dem, selv om de ikke har rettigheter på katalogen over. Jeg har ikke hatt anledning til å sjekke dette ut, men det vil være interessant da man slipper å hindre arv av rettigheter på hjemmeområder, og samtidig kan hindre brukere å få tilgang til hverandres hjemmeområde. Ahh.. den var ny, Bypass Traverse Checking ... Da slipper vi endelig "browse directory contents" som en rettighet for å "komme seg nedover... Vet du om det funker på Win2K? Basert på denne: Traverse checking ser det slik ut. Spennende greie. MCT2005 du og? ja, ja.. Vi er ca 70 i landet :-) God natt, tror jeg legger meg. Endelig går backupen slik den skal så da er det antta på meg.. Nytelse CNA + peilingskolen :-) Lenke til kommentar
roac Skrevet 22. juni 2005 Rapporter Del Skrevet 22. juni 2005 Ahh.. den var ny, Bypass Traverse Checking ... Da slipper vi endelig "browse directory contents" som en rettighet for å "komme seg nedover...Vet du om det funker på Win2K? Jepp, det er støttet på Windows 2000 også, men jeg mistenker sterkt at den ikke var til stede på Windows NT (Jeg kan i hvert fall ikke huske den fra gode gamle NT-tiden). Lenke til kommentar
kamus Skrevet 22. juni 2005 Rapporter Del Skrevet 22. juni 2005 Jeg ville ikke ha gitt rettigheter på sharet med FC til everyone, så jeg er enig med roac her på dette. Når det gjelder sertifiseringer så er vel ikke de særlig mye verdt hvis man ikke har praksis å legge i det. At både roac og nytelse har erfaring regner jeg med, men det som er litt dumt, er alle de som har sertifiseringer, men ingen erfaring å legge bak det. Sertifiseringer som jeg har er ikke så mange som de to foregående: MCP, MCSE 2000, MCSE 2000 messaging, CCNA, Network +, og diverse annet. Lenke til kommentar
roac Skrevet 22. juni 2005 Rapporter Del Skrevet 22. juni 2005 Jeg ville ikke ha gitt rettigheter på sharet med FC til everyone, så jeg er enig med roac her på dette. Når det gjelder sertifiseringer så er vel ikke de særlig mye verdt hvis man ikke har praksis å legge i det. At både roac og nytelse har erfaring regner jeg med, men det som er litt dumt, er alle de som har sertifiseringer, men ingen erfaring å legge bak det. Sertifiseringer som jeg har er ikke så mange som de to foregående: MCP, MCSE 2000, MCSE 2000 messaging, CCNA, Network +, og diverse annet. Du har i det minste fått deg en cisco-sertifisering du da, det har ikke jeg gjort enda Lenke til kommentar
Nytelse Skrevet 23. juni 2005 Rapporter Del Skrevet 23. juni 2005 (endret) Om du gir share rettigheter til everyone har absolutt ikke noe å si, så lenge man har stålkontroll på NTFS.. Mest restriktiv gjelder. Jeg er enig i at bare sertifiseringer ikke holder, men sammen med masse erfaring er det uslåelig :-) Jeg har holdt på i snart 12 år og føler at jo mer jeg lærer, jo mindre kan jeg. Ha en fotryllende dag. Det er jaggu St Hans. Nytelse Endret 23. juni 2005 av Nytelse Lenke til kommentar
slettet Skrevet 23. juni 2005 Rapporter Del Skrevet 23. juni 2005 St. Hans er det, men fyttikatta som det regner. Liten, om nokon, fare for skogbrann på vestlandet i dag. Greit nok at det ikkje er "feil" å gje FC til everyone, men ein bør vel strengt tatt ikkje gje meir tilgang til nokon enn kva som er nødvendig, uavhengig av om ein kan låse det ned ved NTFS-rettigheiter etterpå. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå