Citat:
someone_bl: Podesi audit za definisani file ili folder, i pokusaj da vidis sta se desava. Ja inace uvijek koristim deny permisije jer su one uvijek jace od svih ostalih...
Dakle, definitivno mi treba pomoc - ili nesto ne radim dobro (veca vjerovatnoca) ili sam server mijenja permissions za file (bez ikakvog traga o tome u 'audit'-u).
Potrudicu se da detaljnije opisem problem.
Postoji folder, recimo, FOLDER_1 i u njemu fajl, recimo: FILE_1.
Postoji i OU, nazovimo je OU_1, u kojoj su korisnici koji treba da pristupaju folderu FOLDER_1 i fajlu FILE_1.
Jedan clan iz OU_1, nazovimo ga CLAN_1, treba da ima 'Modify' permissions nad fajlom FILE_1 - svi ostali clanovi iz OU_1, samo 'Read' and 'Read&Execute'.
Dalje, OU_1, nad folderom FOLDER_1 ima dodijeljen permission 'MODIFY'.
Nad fajlom FILE_1, OU_1 ima 'Read' i 'Read&Execute', a clan CLAN_1, nad fajlom FILE_1 ima dodijeljen permission 'MODIFY'.
Pri ovome, kad je definisan permission nad fajlom FILE_1, za OU_1 je deselektovan checkbox 'Inherit from parent the permission entries ...'.
Svi dodijeljeni permissions su provjereni u 'Effective permissions' i dobijen je rezultat:
- OU_1 nad fajlom FILE_1 ima 'Read' i 'Read&Execute'
- CLAN_1, nad fajlom FILE_1 ima 'Modify'.
Postavio sam 'audit' nad fajlom FILE_1 i to za 'Everyone' , dogadjaj: 'Change permission' (Event ID = 4670). Vide se dva entrija sa ovim EventID-em i to se odnosi na dogadjaj kada sam ja dodijelio permissions.
Sta se dogadja - poslije nekog vremena dolazi do promjene dodijeljenih permissions nad fajlom FILE_1 (pri ovome nema nikakvog zapisa u log-u):
- OU_1 dobija permission 'Modify' nad fajlom FILE_1 (pri cemu stoji selektovan checkbox 'Inherit from parent the permission entries ...'),
- CLAN_1 se vise ne vidi u ACL-u, to jest ne postoji kao korisnik kome su dodijeljeni permissions nad fajlom FILE_1.
Epilog: svi clanovi iz OU_1 imaju Modify nad fajlom FILE_1.
Ponavljam, nema zapisa u logu o dogadjaju sa EventID=4670 (a to je 'permission changed').
Jos nesto: postoji vremenska razlika (jer je server na geografski udaljenoj lokaciji) izmedju trenutka setovanja permissions-a (to uradim ja) i pocetka radnog vremena (to jest rada nad tim fajlom).
Danas sam definitivno utvrdio da se to desava poslije pristupa fajlu od strane korisniak CLAN_1 (dakle, jedinog iz OU_1, kome je dodijeljen permissions 'Modify') ???
Molio bih za pomoc, savjet ... ja nemam ideju sta je uzrok ovom desavanju ???
Da li, mozda, nisam dobro podesio permissions-e ? Ponavljam:
- Effective permissions pokazuje da su setovanja u skladu sa zadanim,
- Dolazi do promjene ACL za FILE_1,
- Nema nikakvog traga o izmjeni ACL-a u log-u,
- Do promjene dolazi tek kad CLAN_1 pocne sa pristupom fajlu (provjerio sam, CLAN_1 nije clan nikakve administratorske grupe)
Hvala unaprijed ...
Programming is fun, but writing good software is hard ...