Isso provavelmente já foi perguntado em outro lugar, mas não consigo encontrar uma pergunta que atenda ao critério exato que temos.
Temos um sistema Windows Server 2016 Standard que executa compartilhamentos de arquivos. Dentro de um dos compartilhamentos, temos uma pasta (para os propósitos deste exemplo, o compartilhamento é chamado de "GeneralShare" e a pasta é "ControlledFolder"). Gostaríamos de ter a própria pasta listada no compartilhamento, mas não permitir que nenhum usuário que não esteja no grupo "ControlledFolderAccess" no AD tenha acesso aos dados. Portanto, qualquer usuário que não esteja no grupo "ControlledFolderAccess" saberá que a pasta existe, mas não poderá ver o conteúdo dentro dela. (Também temos regras de acesso implícitas, como o sistema e os administradores locais (e administradores de domínio) que também têm permissão.)
Experimentamos um conjunto de permissões, ajustando leitura/gravação/execução e todas as iterações de permissões especiais intermediárias, e também experimentamos as permissões 'negar'. No entanto, não encontramos o conjunto adequado de regras que abrangeria adequadamente as regras.
Alguém conhece as regras específicas que precisamos definir para impedir que os usuários entrem no diretório, mas ainda vejam que o diretório existe no próprio compartilhamento?
Isto é o que fizemos em um diretório de teste para tentar replicar:
Permissões gerais de compartilhamento:
PERMITIR REGRAS:
- Administradores de domínio: controle total
- Administradores do sistema local: controle total
- Usuários do domínio: modificar
- Usuário do SISTEMA: Controle total
REGRAS DE NEGAÇÃO:
- NENHUM
Regras Gerais de Compartilhamento/Pasta Controlada:
(SEM HERANÇA)
PERMITIR REGRAS:
- Administradores de domínio: controle total
- Administradores do sistema local: controle total
- Acesso à pasta controlada: controle total
Pelo que entendi, essas permissões devem funcionar ... está faltando uma regra de negação em algum lugar ou o comportamento padrão do Server 2016 acabou de ser alterado ? (Essas mesmas permissões em um servidor 2012R2 que possui outros compartilhamentos funcionam conforme o esperado, podemos ver a pasta, mas não acessá-la se não formos um administrador e não tivermos acesso explícito ou não estivermos no grupo ControlledFolderAccess. . mas em 2016, essas pastas simplesmente não aparecem com essas permissões definidas)
Parece que a Enumeração Baseada em Acesso está habilitada no compartilhamento pai, o que impede que os usuários vejam pastas para as quais não têm permissão. Se você desabilitar o ABE no compartilhamento pai, isso deve permitir que eles vejam, mas não acessem, a pasta em questão.