Прошу меня извинить за флуд, такая тема уже была создана мной на одном из форумов, но хотелось бы попытать счастья и здесь.
Есть Linux-сервер, с настроенной Samba, которая подтягивает пользователей из ActiveDirectory.
Отдельно для каждого пользователя или группы можно дать доступ к директории, но есть проблема с распределением этих самых прав доступа.
Планируется распределять права с помощью acl, т.е. чтобы можно было дать доступ, как одному из пользователей, так и группе, и нескольким группам, и нескольким пользователям одновременно.
Если дать пользователю права на директорию rwx, то у него также добавятся права на изменение разрешений к этой директории и изменение владельца, и он сможет сбить напрочь все права доступа, которые выставляются администратором, что не есть комильфо.
Собственно, этого я и пытаюсь избежать и надеюсь на Вашу помочь.
Можно ли как-то запретить изменение прав доступа для всех, кроме одной группы пользователей - администраторы?
Спасибо.
Windows Server AD + SMBD + acl + xattr. Назначение прав дост
Модератор: weec
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
Graf
- сержант
- Сообщения: 205
- Зарегистрирован: 2008-10-29 18:44:32
- Контактная информация:
Re: Windows Server AD + SMBD + acl + xattr. Назначение прав
если я правильно понял, то:
в принципе, потом можешь рулить "галками" из винды.
Код: Выделить всё
[global]
...
...
security = ADS
...
...
[my_share]
comment = Folders of departments
path = /bla-bla-bla
admin users = DOMAIN\v_pupkin, DOMAIN\администратор, "@DOMAIN\администраторы домена"
read only = no
create mask = 1775
directory mask = 1775
printable = no
available = yes
map acl inherit = yes
inherit owner = no
inherit acls = no
inherit permissions = no
acl check permissions = true
acl map full control = false
...
...
С кем поведешься - так тебе и надо!
http://slackware.su
http://slackware.su
-
spilva
- проходил мимо
Re: Windows Server AD + SMBD + acl + xattr. Назначение прав
Не, знаю, что Вы поняли, но покопавшись в acl я сделал так:
Ваш вариант не пробовал, но в любом случае, большущщее Вам спасибо за ответ 
Код: Выделить всё
[test]
path = /path/to/share
browsable = yes
valid users = "@DOMAIN\NAME"
write list = "DOMAIN\admin"
# Скрыть папки, к которым у пользователя нет доступа
hide unreadable = yes
# Доступ не только на чтение
read only = no
create mask = 0600
directory mask = 0700
# Отключение блокировок - лучше отключить
locking = no
acl group control = yes
acl map full control = yes
nt acl support = yes
map acl inherit = yes