دسترسی کاربران در Activedirectory
با سلام
دوستان من یک سیستم دارم که داخلش یک درایو شر کردم و برای هرکاربر یک فولدر قرار دادم و یک سیستم هم دارم که اکتیو دایرکتوری نصب هست روش.
الان میخوام هرکاربری که یک فولدر به اسم خودش داره فقط و فقط خودش بتونه وارد پوشه خودش بشه و کاربران دیگه نتونند وارد پوشه اون شوند.
درواقع دریاور public که برای همه کاربران نماش داده می شود و داخل ان فولدر تمام کاربران قرار دارد و همه می توانند اون فولدرها رو ببینند. میخوام فقط هر کاربر خودش بتونه وارد پوشه خودش شود؟ باید چه کاری انجام بدم ؟؟
پرمیژن روی درایو public گذاشتم domain user ولی باز همه می توانند وارد فولدر مابقی شوند و فایل بزارند و حذف کنند ؟
ممنون میشم راهنمایی کنید
با سپاس
5 پاسخ
بله همه کاربران پابلیک براشون باز میشه و داخل پابلیک یک فولدر به اسم یوزر خودشون ساخته میشه و دارند،
متاسفانه همه کاربران دامین می توانند فولدر بقیه یوزرها رو ببینند و وارد فولدر بقیه شوند.
الان من بیام فولدر هرکار را داخل پابلیک برای خودش. allow. کنم و برای مابقی یوزرها deny ؟؟
مشکل این هست که تعداد یوزرها بالاست و اینطوری خیلی وقتگیر هست
آیا راه حل دیگه ای وجود نداره که نخوام تک تک پرمیژن بدم ؟
با سپاس
سلام دوست عزیز
برای اینکه هر کاربر فقط به پوشه خودش داخل یک فولدر اشتراکی دسترسی داشته باشه، باید از ترکیب NTFS Permissions و Sharing Permissions به صورت دقیق استفاده کنی. کاری که باید انجام بدی چیزی شبیه به ساختن «Home Folder» یا «User Folder Redirection» هست، ولی اینجا به شکل دستی انجامش می دیم.
مراحل پیشنهادی:
۱. روی درایوی که فولدرها قرار دارن (مثلاً D:\PublicFolders)، به هر کاربر یه فولدر به اسم خودش درست کن (مثل D:\PublicFolders\Ali، D:\PublicFolders\Sara و...).
۲. رو فولدر اصلی یعنی PublicFolders راست کلیک کن و از بخش Security، دسترسی به گروه Domain Users بده فقط با سطح List Folder / Read Data (یعنی فقط ببینن چه پوشه هایی هست، ولی نتونن محتواشون رو باز کنن).
۳. حالا برو سراغ هر فولدر جداگانه (مثلاً فولدر Ali). روی اون راست کلیک کن، Security تب رو باز کن:
هر دسترسی ای که به گروه هایی مثل Domain Users یا Everyone داده شده رو حذف کن.
فقط همون کاربر خاص (مثلاً علی) رو با سطح Full Control یا Modify اضافه کن.
اگه لازم بود گروه های خاصی مثل Backup Operators یا مدیرهای شبکه هم اضافه بشن، مشکلی نیست.
۴. حالا اگر کاربران وارد مسیر \\ServerName\PublicFolders بشن، لیست فولدر همه رو می بینن ولی فقط می تونن وارد پوشه خودشون بشن. بقیه پوشه ها براشون باز نمیشه و پیغام Access Denied می گیرن.
۵. (اختیاری) اگر می خوای حتی لیست فولدرهای بقیه رو هم نبینن (یعنی فقط فولدر خودشون رو ببینن)، باید از Access Based Enumeration استفاده کنی که این قابلیت روی Share Permissions فعال میشه.
برای فعال کردن Access Based Enumeration:
رو فولدر share شده (PublicFolders) راست کلیک کن، برو توی Properties > Sharing > Advanced Sharing > Permissions.
دکمه Caching یا Advanced رو بزن و تیک Enable access-based enumeration رو فعال کن.
اگر می خوای به صورت حرفه ای کار با Active Directory، اشتراک گذاری پوشه ها و سطوح دسترسی رو یاد بگیری، حتماً پیشنهاد می کنم دوره «مدیریت حرفه ای شبکه با ویندوز سرور (MCSE)» در توسینسو رو ببینی. این سناریوها دقیقاً با مثال و تمرین پوشش داده شدن.
هر یوزر رو باید پرمیژن بدین به فولدرش ... پابلیک ساختن فایده ای نداره
یعنی بیام روی هر پوشه توی پابلیک پرمیژن allow بدم به خود یوزر و مابقی رو deny بدم ؟
یا اینکه بیام روی هر سیستم مپ بزنم و فقط پوشه خود کاربر و بزنم براش ؟
مرسی
ساختار درختواره فولدرها را بیان کنید.
اگر همه شاخه های کاربران در شاخه public است باید خاصیت وراثت را از زیرشاخه ها بگیرید. دسترسی جداگانه بدید.