상위 디렉토리에 대한 액세스 권한을 부여하지 않고 서브 디렉토리에 대한 액세스 권한 부여

"소유자"가 다음과 같은 종류의 사용자 그룹에 권한을 부여하려고하는 Windows 파일 서버와 관련된 시나리오가 있습니다.

• \\server\dir1\dir2\dir3: 읽기, 쓰기 및 실행
• \\server\dir1\dir2: 권한이 없습니다
• \\server\dir1: 권한이 없습니다
• \\server: 읽고 실행

나의 이해에 ( 업데이트 :이 단락 전체가 잘못!) 때문에,이 작업을 수행 할 수 없습니다 Read & Execute허가가 있어야 아이를 "인식"할 수 있도록 운영 체제 위해 디렉토리 체인의 모든 상위 디렉토리에 부여 디렉토리로 이동하십시오. 이 권한이 없으면 하위 디렉토리에 대한 전체 액세스 권한이 있어도 중첩 된 디렉토리에 액세스하려고 할 때 보안 컨텍스트 토큰을 얻을 수 없습니다 .

데이터를에서 \\server\dir1\dir2\dir3로 이동하지 않고이 문제를 해결할 수있는 방법을 찾고 \\server\dir4있습니다.

내가 생각한 한 가지 해결 방법은 작동하는지 확실하지 않지만 \\server\dir4에 대한 참조 인 일종의 링크 또는 접합 을 만드는 것입니다 \\server\dir1\dir2\dir3. 사용자에게 또는 Read & Execute에 대한 권한 이없는 경우 사용 가능한 옵션 (있는 경우) \\server\dir1\dir2중이 옵션을 사용할 수있는 옵션이 있는지 확실하지 않지만 \\server\dir1옵션은 다음과 같습니다.

• NTFS 심볼릭 링크,
• 접합,
• 하드 링크.

따라서 질문 :

• 이 방법 중 어느 것이 나의 목표를 달성하기에 적합한가?
• 위에 나열되지 않은 디렉토리를 링크하거나 간접적으로 참조하는 다른 방법이 있습니까?
• 어떤 있습니까 직접 부여 관련이없는 솔루션 Read & Execute에 \\server\dir1나 \\server\dir2여전히 접근 할 수 있도록은 \\server\dir1\dir2\dir3?

당신은 당신의 원래 가정에 착각하여, 나머지 질문을 무질서하게 만듭니다.

사용자가해야하는 최소 권한 dir1및 dir2입니다 Traverse Directory. 이것은 대부분의 가능성이 있지만, 사용자에게 문제가 될 것이다 - 나는 추천 할 것입니다 수 있도록 Traverse Directory 하고 List Folders . 상위 2 개 디렉토리를 탐색하고 dir3더 많은 권한이있는 위치 로 이동할 수 있지만 상위 2 개 디렉토리에 어떤 파일이 있는지조차 볼 수 없습니다.

권한 좋아 Read & Execute하고 Modify개별 권한의 단지 모음입니다. 가장 많이 사용되기 때문에 가장 먼저 보게됩니다. 이 상황과 같이 매우 세분화해야하는 경우 Advanced단추를 클릭하고 여기에 나열된 옵션을 찾으십시오 .

놀랍게도, 개인이 최소한 R 권한을 가진 하위 폴더에 대한 전체 경로를 가지고 있다면 부모 폴더에 대한 통과 권한이 필요하지 않습니다. UNC를 사용하여 간단히 액세스 할 수 있습니다. 물론 공유에 대한 읽기 권한이 있어야합니다 (액세스하려는 수준 이상의 폴더에 대해서는 안됨).

나는 들었을 때 이것을 믿지 않았지만 테스트는 그것을 증명합니다.

이것은 내가 Windows 세계에서 사용 권한을 알고 있다고 생각한 것과 반대이며 많은 사람들에게 놀랄 것입니다.

\ 서버 \ 폴더 1 \ 폴더 2 \ 폴더 3

folder1과 folder2에 Bilbo에 대한 권한이 전혀 없지만 Bilbo가 folder3에 대해 수정 한 경우 (예를 들어), \ server \ folder1 \ folder2 \ folder3가 문제를 일으키지 않습니다.

MDMarra와 유사한 한 가지 솔루션은 다음과 같이 NTFS 권한을 설정합니다.

1. dir1 : 부여 목록 폴더 내용 (탐색 폴더 / 실행 파일, 폴더 목록 / 데이터 읽기, 특성 읽기, 확장 된 특성 읽기, 권한 읽기)
2. 그러나 적용 대상 드롭 다운 에만이 폴더 를 선택하십시오.
3. dir2 : 폴더 목록 내용을 부여 하고이 폴더에만 적용
4. dir3 : 원하는 읽기 / 쓰기 권한을 부여 하고이 폴더, 하위 폴더 및 파일 또는 하위 폴더 및 파일에만 적용

결과적으로 사용자 / 그룹은 각 개별 상위 폴더를 읽고 다른 폴더 나 파일없이 하위 폴더로 드릴 다운 할 수 있습니다.

따라서 브라우저를 통해 (예 : Windows 파일 탐색기를 통해) 단순히 폴더를 통과하는 데 필요한 최소한의 필수 권한에 대한 최종 테스트 된 답변을 얻고 싶을 때 다음 환경에서 이것을 테스트했습니다. 다음은 물건을 단단히 고정하려는 사람들의 결과입니다.

나는 프로덕션에서 이것을 테스트 하지 않았지만 "표준"의 잘 테스트 된 통과 권한 템플릿을 파싱하여 이상한 부작용이 있는지 확인했습니다.

• 트래버스 폴더
• 폴더 목록
• 속성 읽기
• 내선을 읽으십시오. 속성
• 읽기 권한

... 기본적으로 "이 폴더"로 제한된 일반적인 "읽기 및 실행"권한입니다. 즉, 사용자가 서버에서 파일을 단순히 이동, 복사 및 제거하고 서버의 문서 사본 등을 완전히 작업하는 사용자에게는 소규모 테스트가 완벽하게 진행되었습니다.

환경:

• 서버 : Windows 2008 R2-그룹 정책이 거의 없음, 도메인 컨트롤러, AD 통합 DNS, 매우 표준 / 기본 설정으로 구성된 사용자 권한과 관련하여 변경된 사항이 없습니다.
• 클라이언트 : Windows 7 SP1-VM에서 새로 설치, 변경 사항 사이에 다시 시작하여 매번 서버에 대한 연결이 완전히 다시 만들어 지도록합니다.
• 두 설치 모두 2017 년 후반에 패치되었으므로 Windows 타임 라인의 현재 시점에서 매우 많이 사용되는 권한과 관련된 모든 항목에 대한 최신 정보 일 것입니다.
• VM에서 영구 네트워크 드라이브 (\ server \ share-> S :)로 마운트 된 공유 폴더에 액세스하고있었습니다. 공유 권한은 인증 된 사용자 그룹에 대한 읽기 + 변경으로 테스트 사용자 및 특정 시점에 액세스가 필요할 수있는 다른 모든 사용자를 포괄합니다.
• 각 변경 후 VM을 다시 시작하고 파일 탐색기를 열고 공유를 정상적으로 탐색하여 테스트 사용자가 통과 권한을 가지고 있음을 알았습니다.

결과 :

• 루트 폴더에 필요 : ListFolder-ReadData + ReadAttributes (2x 권한)
• 하위 폴더에 필요 : ListFolder-ReadData (1x 권한)

• 선택 사항 : TraverseFolder--ExecuteFile

  ->이 선택적 권한은 트래버스 확인 사용자 무시 권한이 기본적으로 99 %의 상황에서 켜져 있기 때문에 명시 적으로 허용되지 않은 경우에만 중요합니다. 다르게 말하면, NTFS 트래버스 확인 통과 (Bypass Traverse Checking) 사용자 권한 (NTFS 파일 / 폴더 권한이 아닌 그룹 정책에 표시됨)은이 권한을 완전히 없애고 기본적으로 모든 곳에서이 권한을 효과적으로 활성화합니다. 참고 :이 권한을 명시 적으로 거부하면 트래버스 확인 통과 사용자 권한이 특정 인스턴스에서 적용되지 않는지 테스트하지는 않았지만).

보충 정보 : "바이 패스 트래버스 확인"사용자 권한을 통해 누군가는 하위 레벨로 수동적으로 접근 할 수있는 수준의 하위 폴더를 수동으로 통과 할 수 있습니다. 즉, 권한은 해당 파일 / 폴더에 설정되어 있지만 다른 곳에서는 필요하지 않습니다. 파일 경로).