Всегда настройка прав в windows для мне загадкой.
Вот и этот случай не исключение.
Хочу установить запрет на создание каталогов/файлов ТОЛЬКО к корню диска C.
Создаю новую группу. Настраиваю запрещающие права. Ставлю в нужном месте "только для папки".  Применяю правила. Добавляю пользователя в нужную группу. Захожу в терминале под этим пользователем. Пытаюсь создать каталок/файл на рабочем столе - не дает! (хотя права ограничили только к корню диска). Как только удаляю пользователя из этой группы - все работает...
Как так?? ЧЯДНТ?

галку снять "применить для дочерних объектов" или как то так

пробовал как с, так и без галки

кто то врот

правда как то страно - когда стоит флаг, то после применения винда обрабаывает все каталоги... аналогично и когда не стоит - все равно обрабатывает все подкаталоги и файлы... так и должно быть?

(3) я себе верю... не раз тыкался снимая/устанавливая флаг..

нет, не должно. надо еще одну галку снять. "наследовать от родителя" или похоже, но со всех папок и файлов в корне

но при этом скопировать права с родителя

При конфигурировании прав в корне диска только одна галка:

"Заменить все разрешения дочернего объекта на разрешения, наследуемые от этого объекта"

и я применяю права без нее..

а в папке с профайлом пользователя снята галка "Добавить разрешения, наследуемые от родительских объектов" и скопированы права (кроме запрещающих) с родиделей..

Сделал бы скриншоты, да пишу с неудобного компа...

но, чувствую, придется... попозже выложу...

выложи, полегчает

конфигурирую права к корню диска "C"
http://4put.ru/pictures/max/853/2623094.jpg

несмотря на то что галка "заменить все разрешения дочернего объекта" не стоит при применении политик обрабатываются почему-то все каталоги:
http://4put.ru/pictures/max/853/2623095.jpg

проверяю права к профайлу пользователя:
http://4put.ru/pictures/max/853/2623096.jpg

пытаюсь создать папку/файл на рабочем столе пользователя:
http://4put.ru/pictures/max/853/2623097.jpg

что-то мне подсказывает, что это будет еще одной веткой, в которой я буду общаться с самим собой )))

Проблема в том, что задать можно не права к корневой папке, а права к самому диску - там разделения нет.

эм... какая тонкая грань.. но я уверен, что то я хочу: это ограничить доступ к корню диска "C", например и дать доступ в нужные каталоги можно 100%.. мне кажется я видел такую реализацию...

возможно это сделано не так как я думаю, а через групповые политики... попробую покапать в этом направлении...

(15) Там есть есть такой параметр, как обход перекрёстной проверки, чтобы проверка выполнялась только по правам той папки, где создаётся файл или папка, а не по всему пути.

(16) я нашел это параметр. Для того чтобы обход перекрестной проверки не выполнялся (или наобород выполнялся, я так и не понял), нужно включить группу или пользователя в список. Добавил. Результат - тот же. Да и смысла этого не видел, т.к., например, группа "Все" входила уже в этот список...

(11) а зачем галка запрета на содержание папки\чтение данных стоит?
http://social.technet.microsoft.com/Forums/ru-RU/b3c269fc-0f48-4e9a-ab58-528fad8af716/gpo-?forum=ws2008r2ru

(0) Никогда, никогда нельзя устанавливать запрещающие права. Замучаешься разбираться. Нужно убирать разрешения.

(18) я хочу чтобы определенная группа пользователей не могла прочитать содержимое корня диска - им это ни к чему..

(19) это архаизм, придуманный мелкомягкими?? :)

(19) дело в том, что если не ставить запрещающие политики - то после применения прав нужная мне группа вообще удаляется из вкладки "безопасность".. оно, в общем, и правильно - ведь у нее нет вообще никаких прав... хотя.. попробую-ка я где-нибудь оставить флаг с разрешающими правами... посмотрим что получится..

(22) проверил. Если не ставить запрещающих, то, похоже, обрабатывается как "можно"

(21) Я не знаю, архаизм это или нет, но геморрой точно. Запрещающие права имеют приоритет, кстати. Нужны права для группы: Траверс папок, содержание папки, Чтение атрибутов, чтение дополнительных атрибутов - Для этой папки, её подпапок и файлов
- Создание файлов - только для подпапок

(24) Для пользователей по-умолчанию в win2k8 и win2k8 r2 так и стоит, кстати

(20) Запретить чтение корня диска нельзя в принципе.
Если это сделать, то пользователь вообще не сможет работать с диском, так как все функции вывода содержимого диска начинают с корня.
Можно запретить создавать файлы/папки в корне диска.
(19) Иногда запрет, это как раз то, что нужно.
Если внимательно вчитаться в правила работы прав, то система проверяет наличие разрешения хотя бы для кого (из вышестоящих групп), а также проверяет, что нет ни одного запрета.

(21) Кстати, в никсах никаких запрещающих прав нет. Просто у MS, конечно, замутили права слишком сложные.

(26) Да понятно, что она проверяет. Но запрет приоритетнее. Плюс убрать права легче, логичнее и понятнее. На мой взгляд. Чем потом думать ещё где запрет сработал.

(24) (26) я пока ничего нового не услышал... просто, наверно, я что-то не понимаю..

Заходил на сервер знакомого, пытаюсь зайти на диск "С" или "D" - залочены, но проблем с созданимем файлов на рабочем столе нет.. может быть тут вообще организовано так, что профайлы пользователей находятся не на перечисленных дисках и, соответственно, нет прав с доступом??

(29) Может, конечно. Однако и на том же диске у меня пользователи на терминальном сервере не могут в корне создавать права, а их профили работают.
Ну плюс вот статейка: http://www.winsecurity.ru/articles/Understanding-Windows-NTFS-Permissions.html

(30) + Файлы создавать конечно, а не права.

(29) (30) я в свое время пробовал переместить профайлы пользователей (с помощью реестра, твиков и такой-то матери) подальше от системного диска.. откровенно говоря ничего, кроме периодических глюков, нормально не вышло.. поэтому вот и считаю, что, скорее всего, профайлы стоят на системном диске...

(26) Чтение корня можно запретить :) Траверс главное оставить. Своп использует система, а все программы и длл в подпапках.

(32) Вообще профили перемещаются без матери и твиков - групповыми политиками... Штатно.

(34) да я знаю, что как админ - я не фонтан )) могу чего-то не знать

я готов и заплатить, лишь бы только помогли ))

(35) Ну в общем нужны такие права, как я писал в (24).

(36) В почту отписал :)

(31) Файлы запретить создавать в корне - не проблема, так как тот же обход перекрёстной проверки и назначение только для текущей папки решают проблему.
Запретить чтение корня диска - можно попробовать, но Explorer работать перестанет.
P.S. в политике для Explorer есть возможность "скрыть диски", причём любые, но при этом, из командной строки диск можно будет увидеть.

(39) И из самого эксплорера. Ну т.е. из диалога открытия. Достаточно ввести c:\

http://social.technet.microsoft.com/Forums/ru-RU/86ce8c71-6bfa-401f-9082-74706db664ab/-ntfs-?forum=ws2008r2ru

Ещё бывает так:
Права доступа Windows Server 2008

спасибо, это все я уже читал )
(38) как только правильно введу капчу чтобы увидеть какой я свой (!) ящик указывал при регистрации - отвечу... ну или доберусь до ноута, где все ящики (смотря что наступит раньше)

(42) Не ветку всю лень читать :) Под SYSTEM запустить explorer, по AT win2k8 не даёт, но как то точно можно.
А с Hide Drives - только лишние неудобства для админа, а зайти можно как я уже говорил, лишь указав путь. Диск то только скрыт, но доступ есть. Разве что б юзверей диск с: не смущал.

(43) Я знаю )) r22777 собакен yandex.ru

(44) Там ещё можно и запретить доступ ко всему диску из Explorer, но остальных программах он виден.
Про корень, также пишут, что в случае запрета перестаёт работать корзина, что, в принципе, не так уж и важно.

(46) Да это всё как-бы ни о чём. Ну видят пользователи диск. Ну и хрен с ними. Документы и рабочий стол перенаправить - и всё при них. Хотя citrix PS 4 мне нравился (с другими не работал). Там можно было перемапить диски, чтобы системные были дальше, а пользовательские начинались с C:\ и т.д.

(47) Ну и кто мешает сделать системный диск S, например.
Только для Windows это желательно делать при установке, так как она в некоторые места ссылку на диск прописывает.
У меня корень смотрят, если хотят, скрытые папки "спрятаны", но читать-писать могут. Остальное - даже и не читается.
Просто, что такого пользователь может увидеть в корне системного диска ?

я думаю это вообще риторический вопрос...
просто у меня на днях некий юзверь долез до папки с бд и сделал ее копию (локально). Я знаю что это не диверсия, но этого бы не произошло, если бы доступа к корню диска у пользовтеля не было... хотя... сейчас вот думаю... ему, в вообщем, ничего не мешало в том же проводнике указать папку отличную от корня (на пути к бд) и он так же бы получил доступ.. блин... неужели то что я хочу полная фигня.. надо, просто, граммотно настроить права на все каталоге и фсе ? (*мне стыдно)..

пора менять свой ник ))

(50) В общем, если база файловая, то пользователь, если может в ней работать в файловом режиме (не Web), то имеет к ней доступ на чтение и на запись.
Поэтому, ничто не может запретить пользователю выполнить копирование файла с базой, скажем, во временную директорию, к которой у него есть доступ.
Окно выбора файла в 1С, как известно, позволяет заглянуть в директорию базы (если не вообще по умолчанию туда смотрит), а также позволяет выполнить какие-то операции с файлом базы.

В терминальном режиме можно порезать доступ с терминального сервера во вне, чтобы пользователи не могли унести базу с сервера.

P.S. Web-режим и тонкий клиент спасёт от таких "сюрпризов".

(49) Ну если база файловая - то её от копирования может спасти только запрет подключения сетевых ресурсов, доступных пользователю вне сервера терминалов. Ну плюс запрет буфера обмена. Хотя распечатать отчёт из 1с тоже можно. Или сфоткать его)) А так - SQL

у меня sql+зашифровано все... наверно зря волнуюсь...

(53) SQL-базу же никто просто так увидеть не может.
Поэтому, чего бояться.

(53) Ну как бы sql базу то не вытащат. Но вот 1с под sa наверное работает? :)

(52) Реально, в сервере терминалов через "эммуляцию нажатия клавиш" набить программу, которая соберёт обработку, которая из 1С будет данные на экране в виде штрих-кодов показывать, чтобы этот экран сфотографировать с того же терминального клиента - и всё, база уплыла.

А шифрование. Ну ведь когда открывается зашифрованный файл - он становится незашифрованным.

(55) 1С работает под своим пользователем, которого тоже можно "порезать" по самое не могу.

(58) Не, это конечно. Я про умолчания

(56) Э.. В смысле эмуляция нажатия клавиш?

(56) + Я говорил лишь то, что люди знают больше чем какая-то база, хотя да, нефиг копировать кому ни попадя.

Проблема как всегда в принципе. Равна или больше стоимость информации стоимости её защиты. Для очень многих фирм это не так.

(62) К стоимости защиты нужно приплюсовать потери от простоя из-за не правильно настроенных прав для легальных пользователей, которые из-за этого не смогли работать.

(60) Если буфер обмена на терминальном сервере закрыт, то просто передавая нажатия определённых клавиш можно создать файл практически с любым содержимым.
Далее, если этот файл можно запустить, то он может собрать из себя уже реальный файл, который может быть, например, обработкой для 1С, которая делает какие-то действия.

Что касается шифрования, то sql-сервер работает под каким-то пользователем. Для этого пользователя диск будет расшифрован, так как с ним работает SQL. Для других пользователей вообще доступа к диску с базой может и не быть.
Шифрование полезно, когда есть вероятность доступа к диску на выключенном сервере (когда загрузят другую систему и попытаются скопировать данные), но эта ситуация маловероятна.
Внутри sql-базы также можно использовать шифрование строк, но опять же, защита упирается в пароль пользователя, под которым работает sql-сервер.
В случае 1С, стоит опасаться самой 1С.
Во-первых, разрешение на выполнение внешних обработок или произвольного кода в клиенте, который вызывает что-то с сервера.
Во-вторых, вполне возможна модификация кода клиента 1С для того, чтобы он не обращал внимания на некоторые ограничения (конечно, права должны проверяться на сервере, но насколько проверяется каждый вызов с сервера с клиента - это знают только в 1С).

(64) Ну про файл ты, надеюсь, пошутил :) Можно создать хоть чёрта в ступе, но кому это надо. В шифровании единственный тонкий момент, если ты это читаешь - у тебя это расшифровано. И никак иначе. В памяти, на диске. Но это в вакууме. А вот у меня одинесники творят с базой что хотят, франчи. Я не шарю в 8-ке. Модификация клиента возможна, что отлично доказывают фирмы пользующиеся 1с без ключа :)

(60) >> Если буфер обмена на терминальном сервере закрыт, то просто передавая нажатия определённых клавиш можно создать файл практически с любым содержимым.


Можно даже Войну и Мир напечатать. :) А у ж если к серверу подойти в стойке. Я даже теряюсь от возможностей )))

(65) В случае ключа, скорее, модификация драйвера ключа и службы сетевого лицензирования.

Про файл - в задании было - сделать USB или Ps/2 устройство, которое при подключении к компьютеру определяется как клавиатура, ждёт от пользователя нескольких последовательных нажатий CapsLock (не забываем, что сигналы светодиодов передаются обратно) начинает создание определённого файла передавая последовательно нажатия клавиш.

>>(не забываем, что сигналы светодиодов передаются обратно
Энкономист я по специальности :( Не знаю я электротехники за пределами 10 классов

(68) В общем, идея в том, что к компьютеру подключается имитатор клавиатуры, который выполняет определённые действия.
Например, посылается в контору "засланный казачок" - он свой телефон направляет камерой на экран, а специальный шнурок включает в разъём клавиатуры - и удалённый доступ к компьютеру готов.