File server di Windows e ABE

Sto avviando la creazione di un nuovo file server di Windows 2008R2 e ho alcune problematiche con Access Based Enumaration.

Non voglio solo migrare tutti i dati e le autorizzazioni poichè la nostra struttura è cresciuta nel corso degli ultimi 15 anni e per essere onesti è un disordine. Quindi sto cercando di mettere tanto impegno in questo ansible.

Ho impostato un DFS-N (Dati) basato sul dominio where vengono pubblicate le condivisioni per each reparto (dept1 to dept 4). Durante la verifica (sì, abbiamo un ambiente di test! Fortunatoci!) Ho imbattuto in un bug (?) Riguardante l'emissione di Access Based. Il permesso sarà gestito attraverso l'annidamento di diversi gruppi permissivi. Il mio problema è che l'aggiunta di un utente a un gruppo specifico per una sottodirectory non consente di visualizzare / attraversare le directory padre.

ABE è abilitata sia sul fileshare che sul DFS-N.


Ho creato la seguente struttura di directory:

\\DFSRoot\Data\ +---dept1 | +---dir1 | | +---sub1 | | \---sub2 | +---dir2 | +---dir3 | | +---sub1 | | \---sub2 | \---dir4 +---dept2 | +---dir1 | +---dir2 | +---dir3 | \---dir4 +---dept3 | +---dir1 | +---dir2 | +---dir3 | \---dir4 +---dept4 | +---dir1 | +---dir2 | +---dir3 | \---dir4 \---dept5 +---dir1 | +---sub1 | \---sub2 +---dir2 +---dir3 \---dir4 +---sub1 \---sub2 

Per each directory ho creato 3 gruppi:

Quindi per \\ DFSroot \ Data \ dept1 questo sarebbe

 dl-dept1-list dl-dept1-ro dl-dept1-rw 

Per \\ DFSroot \ Data \ dept1 \ dir1

 dl-dept1-dir1-list dl-dept1-dir1-ro dl-dept1-dir1-rw 

E per \\ DFSroot \ Data \ dept1 \ dir1 \ sub1

 dl-dept1-dir1-sub1-list dl-dept1-dir1-sub1-ro dl-dept1-dir1-sub1-rw 

Per tutto il resto anche questo schema si applica.

Per each directory i gruppi corrispondenti sono membri del gruppo di elenco alla directory successiva di livello superiore. Così

 dl-dept1-dir1-sub1-list dl-dept1-dir1-sub1-ro dl-dept1-dir1-sub1-rw 

sono membri di dl-dept1-dir1-list

L'inheritance; non è rotta. Questi gruppi RO / RW hanno la rispettiva authorization per la loro cartella e each sottodirectory all'interno.

I gruppi di elenchi dispongono di autorizzazioni speciali -> ListDirectory, ReadAttributes, ReadPermissions, Traversa -> Questa cartella

Se aggiungo $ User a dl-dept1-dir1-sub1-rw per concedere l'authorization R / W a \\ DFSroot \ Data \ dept1 \ dir1 \ sub1 l'utente è in grado di accedere alla condivisione dept1 (membri di dl-dept1-list ) ma non vede nessuna directory. $ L'utente non può accedere a dir1 tramite path UNC. $ L'utente può accedere a sub1 tramite il path UNC.

Se ABE è distriggersto sulla condivisione $ l'utente può passare le directory senza problemi.

A questo punto sono bloccato e non vedo quello che mi manca.

Forse uno di voi può aiutare. Grazie in anticipo.

Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.