Jump to content
Sign in to follow this  
kanoutas

file permissions per file extension

Recommended Posts

Καλησπέρα,

 

Θέλω να έχω έναν φάκελο με αρχεία pdf, word, excel και κάποια με άλλες διάφορες επεκτάσεις (πχ  .001)

 

Μπορώ κάπως να δώσω δικαιώματα σε διάφορους χρήστες ώστε να βλέπουν μόνο όποια αρχεία θέλω εγώ.

 

Π.χ  ο user1 να μπορεί να μπαίνει στο φάκελο αυτόν άλλα να του εμφανίζει μόνο τα αρχεία του word και να μην βλέπει τα υπόλοιπα. Αντίστοιχα ο χρήστης user2 να μπορεί να βλέπει μόνο τα αρχεία με επέκταση .001.

 

Προσπαθώ να βρω αν γίνετε σε ένα NAS synology που έχω άλλα δεν μπορώ να βρω κάτι.

 

Μπορεί λέτε να γίνει σε windows server?

 

Ευχαριστώ

 

 

Share this post


Link to post
Share on other sites

Καλημέρα!

 

Αυτό που πραγματικά θα ταίριαζε στη περίπτωση σου είναι το Access-bsed Enumeration. Περισσότερες πληροφορίες μπορείς να αντλήσεις από εδώ https://technet.microsoft.com/en-us/library/dd772681(v=ws.10).aspx. Στο setup σου όμως υπάρχει ένα bottleneck, είναι ο File Server. Για να επωφεληθείς αυτού του feature, θα πρέπει να έχεις Windows based file server. Έχω δει παλαιότερα κάποια articles σχετικά με QNAP Nas που υποστηρίζανε το ABE, κάνε μία έρευνα και από μόνος σου να δεις εάν το δικό σου το υποστήρίζει.

 

Αυτά!

Share this post


Link to post
Share on other sites

Θεωρώ πιο εύκολο βάλεις τα αρχεία στο φάκελο σε υποφακέλους, πχ Word File, Excel Files, 001 files κλπ

 

και εκεί να δώσεις σε distribution group access...και αντιστοιχα να μπαινοβγάζεις τους χρήστες στα groups που θες!

πχ ο χρήστης Blackman είναι μέλος και του Word Group & Excel Group
ο χρήστης Μάρκου είναι μόνο 001 group και ο χρήστης kanoutas είναι στα Excel Group & 001 Group

πως σου φαίνεται αυτή η λύση;
είναι πιο εύκολο να το διαχειριστείς από θέμα ότι δεν χάνεσαι με τους χρήστες...αλλά δίχνεις τις προσβάσεις σε groups και μετά απλά μπαιζοβγάζεις χρήστες!

Share this post


Link to post
Share on other sites

Θεωρώ πιο εύκολο βάλεις τα αρχεία στο φάκελο σε υποφακέλους, πχ Word File, Excel Files, 001 files κλπ

 

και εκεί να δώσεις σε distribution group access...και αντιστοιχα να μπαινοβγάζεις τους χρήστες στα groups που θες!

 

πχ ο χρήστης Blackman είναι μέλος και του Word Group & Excel Group

ο χρήστης Μάρκου είναι μόνο 001 group και ο χρήστης kanoutas είναι στα Excel Group & 001 Group

 

πως σου φαίνεται αυτή η λύση;

είναι πιο εύκολο να το διαχειριστείς από θέμα ότι δεν χάνεσαι με τους χρήστες...αλλά δίχνεις τις προσβάσεις σε groups και μετά απλά μπαιζοβγάζεις χρήστες!

 

Ναι είναι και αυτός ένας τρόπος. Το πρόβλημα μου είναι ότι ο φάκελος που θα πάνε τα αρχεία θα είναι ένας και δεν μπορεί να διαχωριστεί.

 

Φαντάσου είναι για ένα εργοστάσιο που έχει κάτι μηχανές και δημιουργούν αρχεία με διάφορες επεκτάσεις. Δεν μπορώ να πω κάπως την μηχανή να βάζει αρχεία σε διαφορετικούς φακέλους. Θα πρέπει πάλι να βρω τρόπο να ταξινομούνται τα αρχεία μετά. 

 

 

 

Λίγο που το έψαξα δεν βρήκα να αναφέρεται κάπου για permissions per file extensions.

 

Το έχεις κάνει? 

Share this post


Link to post
Share on other sites

Το Dynamic Access control σου δίνει τη δυνατότητα ναι έχεις δυναμικά Access Control Entries , χρησιμοποιεί το File Classification Infrastructure για να κάνει tag τα αρχεία και έπειτα σου δίνει ή αφαιρεί την πρόσβαση on the fly.

 

To πρόβλημά σου είναι πως θέλεις File extensions αλλά μπορείς να το ξεπεράσεις αυτό με Powershell.

 

Γίνεται αλλά θέλει λίγο δουλίτσα

Share this post


Link to post
Share on other sites

Τώρα που βρήκα λίγο χρόνο βρήκα και το MSDN article για το πως μπορείς να κάνεις Classify από το Powershell και το δοκίμασα , δουλεύει κανονικά.

 

$cls = New-Object -com Fsrm.FsrmClassificationManager
$p = $cls.SetFileProperty("C:\New Text Document .001", "001", "001")

 

Οπότε μπορείς να βάλεις ένα καινούργιο File Management Task στον File Server να τρέχει ένα powershell script. Αυτό το Script διαβάζει όλα τα αρχεία ή δουλεύει με τη λογική του File Change Notification και περνάει μια ιδιότητα. Η ιδιότητα αυτή μπορεί να χρησιμοποιηθεί σαν Rule για το Dynamic Access Control,  όπου μπορείς να ορίσεις οι χρήστες του Group 001 να μπορούν να διαβάσουν τα αρχεία με το Property 001.

 

Είναι εύκολο αλλά έχει δουλειά όπως είπα.

Share this post


Link to post
Share on other sites

Ευχαριστώ πολύ για την απάντηση. Είναι κάπως advanced αυτό που γράφεις αν και πολύ ενδιαφέρον.

 

Όταν βρω χρόνο θα το δοκιμάσω. 

Share this post


Link to post
Share on other sites

Quick Description:

 

Access-based enumeration displays only the files and folders that a user has permissions to access. It is a feature that was previously available as a downloadable package for the Windows Server® 2003 operating system (it was also included in Windows Server 2003 Service Pack 1)

 

To DAC που περιγράφει ο Παναγιώτης, έχει effort και requirements. Καταρχήν προυποθέτει την ύπαρξη Active Directory περιβάλλοντος και τουλάχιστον ενός Windows Server 2012 domain controller. Από την άλλη effort για να γίνει το classification ( claims κτλπ ). Ναι πράγματι θα είχε πολύ νόημα εάν είχες όλα τα προαναφερθέντα.

 

Το περιβάλλον που αναφέρεσαι έχει Active Directory?

Share this post


Link to post
Share on other sites

Το Access Based Enumeration κρύβει τα shared folders στα οποία δεν έχει permissions ο χρήστης και αυτό είναι όλο, Δεν βοηθάει στην περίπτωση αυτή. Μόνο με Dynamic Access Control γίνεται η δουλειά.

Share this post


Link to post
Share on other sites

Chris το DAC είναι μία απτις πιθανές λύσεις αλλά πως θα το κάνει Implement σε ένα consumer NAS Synology? 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
Sign in to follow this  

×
×
  • Create New...