Discussione:
Windows 2003 e permessi cartelle a caso
(troppo vecchio per rispondere)
Matteo L.
2007-02-16 10:48:31 UTC
Permalink
Salve a tutti.

Ho una rete configurata con un dominio su un DC Windows server 2003,
native mode, dns, wins, sus, con circa 10 client prevalentemente winXP,
2 win2k, 1 xp x64.
Vorrei rifinire i permessi sulle cartelle, che ora sono generici per
tutti i domain users, facendo i miei bei gruppi con dentro gli utenti,
come ho sempre fatto sotto windows 2000 server.

Creo il gruppo (come globale, ma ho provato anche in altri modi, ed a
spostarlo nei builtin e negli users senza alcuna differenza), lo lascio
vuoto; ad una cartella di test tolgo la propagazione dei permessi, tolgo
tutto e ci metto solo quel gruppo come abilitato alla lettura; provo con
un utente qualunque ad entrare, accesso negato. Ok.

Vado in utenti e computer di ad, aggiungo un utente al gruppo, con
quell'utente provo ad accedere:
dir p:\Prova
File non trovato
------------------------
dir \\dc\dati\Prova
File non trovato
------------------------
dir \\192.168.0.254\dati\Prova
Directory di \\192.168.0.254\dati\Prova
11/12/2006 16.32 <DIR> .
11/12/2006 16.32 <DIR> ..
------------------------

Che succede?? Perché con l'IP del dc funziona e con il nome no? I client
sono configurati per utilizzare il dc come dns, e 'nslookup dc' viene
risolto correttamente.
Anche azzerando i permessi sulla cartella e reimpostandoli dopo la
modifica al gruppo, non funziona.
Se invece aggiungo alla cartella direttamente gli utenti e non il
gruppo, funziona; i gruppi predefiniti tipo domain users funzionano.

Mi succede anche l'inverso! Ossia creo il gruppo, aggiungo l'utente,
metto i permessi sulla cartella, l'utente entra; tolgo l'utente dal
gruppo, e l'utente continua ad entrare!
Questo da tutti i client.

Qualcuno ha idea di che succede?

Grazie a tutti.
Matteo
Edoardo Benussi [MVP]
2007-02-16 14:25:09 UTC
Permalink
Post by Matteo L.
Salve a tutti.
Ho una rete configurata con un dominio su un DC Windows server 2003,
native mode, dns, wins, sus, con circa 10 client prevalentemente
winXP, 2 win2k, 1 xp x64.
Vorrei rifinire i permessi sulle cartelle, che ora sono generici per
tutti i domain users, facendo i miei bei gruppi con dentro gli utenti,
come ho sempre fatto sotto windows 2000 server.
Creo il gruppo (come globale, ma ho provato anche in altri modi, ed a
spostarlo nei builtin e negli users senza alcuna differenza), lo
lascio vuoto; ad una cartella di test tolgo la propagazione dei
permessi, tolgo tutto e ci metto solo quel gruppo come abilitato alla
lettura; provo con un utente qualunque ad entrare, accesso negato. Ok.
Vado in utenti e computer di ad, aggiungo un utente al gruppo, con
dir p:\Prova
File non trovato
------------------------
dir \\dc\dati\Prova
File non trovato
------------------------
dir \\192.168.0.254\dati\Prova
Directory di \\192.168.0.254\dati\Prova
11/12/2006 16.32 <DIR> .
11/12/2006 16.32 <DIR> ..
------------------------
Che succede?? Perché con l'IP del dc funziona e con il nome no? I
client sono configurati per utilizzare il dc come dns, e 'nslookup
dc' viene risolto correttamente.
Anche azzerando i permessi sulla cartella e reimpostandoli dopo la
modifica al gruppo, non funziona.
Se invece aggiungo alla cartella direttamente gli utenti e non il
gruppo, funziona; i gruppi predefiniti tipo domain users funzionano.
Mi succede anche l'inverso! Ossia creo il gruppo, aggiungo l'utente,
metto i permessi sulla cartella, l'utente entra; tolgo l'utente dal
gruppo, e l'utente continua ad entrare!
Questo da tutti i client.
Qualcuno ha idea di che succede?
tu stai parlando di permessi ntfs ossia
di acl ma i permessi di condivisione quali sono ?
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
Matteo L.
2007-02-16 17:39:30 UTC
Permalink
Post by Edoardo Benussi [MVP]
Post by Matteo L.
Vado in utenti e computer di ad, aggiungo un utente al gruppo, con
dir \\dc\dati\Prova
File non trovato
------------------------
dir \\192.168.0.254\dati\Prova
Directory di \\192.168.0.254\dati\Prova
11/12/2006 16.32 <DIR> .
11/12/2006 16.32 <DIR> ..
------------------------
Che succede?? Perché con l'IP del dc funziona e con il nome no? I
client sono configurati per utilizzare il dc come dns, e 'nslookup
dc' viene risolto correttamente.
...
Post by Edoardo Benussi [MVP]
Post by Matteo L.
Qualcuno ha idea di che succede?
tu stai parlando di permessi ntfs ossia
di acl ma i permessi di condivisione quali sono ?
'Domain users' controllo completo; l'utente in questione è membro di
domain users.


Ciao.
Matteo
Edoardo Benussi [MVP]
2007-02-17 07:59:04 UTC
Permalink
Post by Matteo L.
'Domain users' controllo completo; l'utente in questione è membro di
domain users.
nei permessi di condivisione
metti everyone->full control
mentre nei permessi ntfs
metti domain users->full control
e riprova.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
Matteo L.
2007-02-19 08:24:24 UTC
Permalink
Post by Edoardo Benussi [MVP]
Post by Matteo L.
'Domain users' controllo completo; l'utente in questione è membro di
domain users.
nei permessi di condivisione
metti everyone->full control
Fatto
Post by Edoardo Benussi [MVP]
mentre nei permessi ntfs
metti domain users->full control
Questo era già così, ed è quello che sto cercando di cambiare...

Con domain users full control funziona, ma se metto l'altro gruppo, a
quanto pare funziona solo se accedo tramite IP, mentre tramite nome o
condivisione sembra tenere l'impostazione precedente del gruppo (adesso
per esempio ho "svuotato" il gruppo: tramite nome riesco ad accedere
mentre tramite IP dà accesso negato, com'è giusto).

Ciao.
Matteo
Edoardo Benussi [MVP]
2007-02-19 14:22:33 UTC
Permalink
Post by Matteo L.
Post by Edoardo Benussi [MVP]
Post by Matteo L.
'Domain users' controllo completo; l'utente in questione è membro di
domain users.
nei permessi di condivisione
metti everyone->full control
Fatto
Post by Edoardo Benussi [MVP]
mentre nei permessi ntfs
metti domain users->full control
Questo era già così, ed è quello che sto cercando di cambiare...
Con domain users full control funziona, ma se metto l'altro gruppo, a
quanto pare funziona solo se accedo tramite IP, mentre tramite nome o
condivisione sembra tenere l'impostazione precedente del gruppo
(adesso per esempio ho "svuotato" il gruppo: tramite nome riesco ad
accedere mentre tramite IP dà accesso negato, com'è giusto).
metti nel gruppo gli utenti che desideri
e riavvia la macchina.
poi riprova l'accesso.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
Matteo L.
2007-02-19 16:29:47 UTC
Permalink
Post by Edoardo Benussi [MVP]
metti nel gruppo gli utenti che desideri
e riavvia la macchina.
poi riprova l'accesso.
Proverò, ma è un server, mica posso riavviarlo ogni volta che cambio una
permission...


Grazie comunque.

Matteo
roberto
2007-02-19 17:32:31 UTC
Permalink
Matteo L. wrote:
-cut-
Post by Matteo L.
Proverò, ma è un server, mica posso riavviarlo ogni volta che cambio una
permission...
Hai sbagliato sistema operativo, temo.
--
|Save our planet!
Ciao |Save wildlife!
roberto |For your E-MAIL use ONLY recycled Bytes !!
|roberto poggi ***@softhome.net
Matteo L.
2007-02-20 15:22:54 UTC
Permalink
Post by roberto
Post by Matteo L.
Proverò, ma è un server, mica posso riavviarlo ogni volta che cambio
una permission...
Hai sbagliato sistema operativo, temo.
Ci ho provato a farne prendere uno serio...

Ciao.
Matteo

Valerio Vanni
2007-02-19 19:39:05 UTC
Permalink
On Mon, 19 Feb 2007 17:29:47 +0100, "Matteo L."
Post by Matteo L.
Post by Edoardo Benussi [MVP]
metti nel gruppo gli utenti che desideri
e riavvia la macchina.
poi riprova l'accesso.
Proverò, ma è un server, mica posso riavviarlo ogni volta che cambio una
permission...
Se cambi l'appartenenza degli utenti ai gruppi devi fare logoff e
logon (con gli utenti in questione), se hai cambiato delle permission
l'effetto è istantaneo.
--
Ci sono 10 tipi di persone al mondo: quelle che capiscono il sistema binario
e quelle che non lo capiscono.
Matteo L.
2007-02-20 15:08:52 UTC
Permalink
Post by Valerio Vanni
Se cambi l'appartenenza degli utenti ai gruppi devi fare logoff e
logon (con gli utenti in questione), se hai cambiato delle permission
l'effetto è istantaneo.
Questo è decisamente più accettabile, penso di poterci convivere...
Ho provato e sembrerebbe effettivamente essere così, non è proprio il
massimo ma già meglio che riavviare la macchina; resta la curiosità sul
perché usando l'IP funziona tutto subito...

Grazie e ciao.
Matteo
Continua a leggere su narkive:
Loading...