親ディレクトリへのアクセスを許可せずにサブディレクトリへのアクセスを許可する

「所有者」が次の種類のユーザーのグループにアクセス許可を付与したいというWindowsファイルサーバーに関するシナリオがあります。

• \\server\dir1\dir2\dir3：読み取り、書き込み、実行
• \\server\dir1\dir2：権限なし
• \\server\dir1：権限なし
• \\server：読み取りおよび実行

私の理解する（アップデート：この段落全体は間違っている！）ので、これを行うことはできませんRead & Execute許可をしなければならない子供を「見る」ことができるように、オペレーティング・システムのために、ディレクトリ・チェーン内のすべての親ディレクトリに付与することディレクトリに移動します。この権限がないと、サブディレクトリへのフルアクセスがあっても、ネストされたディレクトリにアクセスしようとすると、セキュリティコンテキストトークンを取得することさえできません。

データをから\\server\dir1\dir2\dir3に移動せずに、これを回避する方法を探しています\\server\dir4。

私が考えた回避策の1つは、それが機能するかどうかはわかりません\\server\dir4が、への参照であるリンクまたはジャンクションのようなものを作成すること\\server\dir1\dir2\dir3です。ユーザーがまたはに対するRead & Execute権限を持っていない場合、使用可能なオプション（ある場合）がこの目的のために機能するかどうかはわかりませんが、私の知る限り、オプションは次のとおりです。\\server\dir1\dir2\\server\dir1

• NTFSシンボリックリンク
• ジャンクション、
• ハードリンク。

だから質問：

• これらの方法のいずれかが私の目標を達成するのに適していますか？
• 上記に記載していないディレクトリをリンクまたは間接的に参照する他の方法はありますか？
• へのアクセスを許可しない、または許可する直接的な解決策はありますか？Read & Execute\\server\dir1\\server\dir2\\server\dir1\dir2\dir3

あなたはあなたの元の仮定に誤りがあり、それがあなたの質問の残りの部分を根拠のないものにします。

ユーザーが上で必要となることを最小の権限dir1とdir2されますTraverse Directory。ただし、これはユーザーにとって問題になる可能性が高いため、とをお勧めTraverse Directory し List Foldersます。上位2つのディレクトリをナビゲートして、dir3より多くのアクセス許可を持つ場所に移動できますが、上位2つのディレクトリにどのファイルが存在するかさえわかりません。

Read & Executeおよびのような権限Modifyは、個別の権限のコレクションにすぎません。それらは最も一般的に使用されるため、最初に目にするものです。この状況のように非常に細かくする必要がある場合は、Advancedボタンをクリックして、そこにリストされているオプションを詳しく調べてください。

驚くべきことに、個人が少なくともRのアクセス許可を持つサブフォルダーへの完全パスを持っている場合、トラバースすらできず、親フォルダーに対するアクセス許可は必要ありません。彼らは単にUNCを使用してそれにアクセスできます。（もちろん、共有に対する読み取りアクセス許可を持っている必要があります。アクセスしたいレベルより上のフォルダに対しては許可されていません）。

言われたときは信じていませんでしたが、テストで証明されました。

これは、私がWindowsの世界で許可を知っていると私が思っていたことに反しています。

\ server \ folder1 \ folder2 \ folder3

folder1とfolder2にBilboのアクセス許可がまったくないが、Bilboが（たとえば）folder3を変更している場合、\ server \ folder1 \ folder2 \ folder3は彼をそこに連れて行き、問題ありません。

MDMarraと同様のソリューションの1つは、NTFSアクセス許可を次のように設定することです。

1. dir1：リストフォルダーの内容の付与（トラバースフォルダー/実行ファイル、リストフォルダー/データの読み取り、属性の読み取り、拡張属性の読み取り、アクセス許可の読み取り）
2. しかし、ドロップダウンの適用にのみこのフォルダを選択します
3. dir2：許可リストフォルダーの内容とこのフォルダーにのみ適用
4. dir3：必要な読み取り/書き込み権限を付与し、このフォルダー、サブフォルダーとファイル、またはサブフォルダーとファイルのみに適用

最終結果は、ユーザー/グループが個々の親フォルダーを読み取り、他のフォルダーやファイルなしで子フォルダーにドリルダウンできることです。

そのため、ブラウジング（つまり、Windowsファイルエクスプローラー）を介して単にフォルダーをトラバースするために必要な最小限のアクセス許可について、最終的なテスト済みの回答を得たいと思って、次の環境でこれをテストしました。物事をしっかりとロックしたい人のための結果は次のとおりです。

私はまだこれを本番環境でテストしていません。

• トラバースフォルダー
• リストフォルダー
• 属性の読み取り
• Extを読みます。の属性
• 読み取り許可

...これは、基本的には「このフォルダ」に制限された通常の「読み取りと実行」権限だけです。とはいえ、これまでのところ、小規模なテストは、サーバー上のファイルを単に移動、コピー、および削除するユーザーと、ドキュメントのサーバーコピーから完全に作業するユーザーにとっては完全に問題ありません。

環境：

• サーバー：Windows 2008 R2-グループポリシーではなく、ユーザー権利に関連して何も変更されず、ドメインコントローラーとして構成され、AD統合DNS、非常に標準的/基本的なセットアップ。
• クライアント：Windows 7 SP1-VMへのクリーンインストール。サーバーへの接続が毎回完全に再作成されるように、変更の合間に再起動しました。
• どちらのインストールも少なくとも2017年後半にパッチが適用されているため、Windowsタイムラインのこの時点で非常に組み込まれている権限に関連するものはすべて最新のものである可能性があります。
• これは、VMで永続的なネットワークドライブ（\ server \ share-> S :)としてマウントされた共有フォルダーにアクセスしていました。共有アクセス許可は、Authenticated Usersグループの読み取りと変更でした。このグループには、テストユーザーと、ある時点でアクセスが必要になる可能性が高い他のすべてが含まれます。
• 変更するたびに、VMを再起動し、ファイルエクスプローラーを開いて、通常どおりに共有を参照し、テストユーザーがこれらのトラバーサル権限を持っているかどうかを確認しました。

結果：

• ルートフォルダーに必要：ListFolder-ReadData + ReadAttributes（2x権限）
• サブフォルダーで必要：ListFolder-ReadData（1x権限）

• オプション：TraverseFolder--ExecuteFile

  ->このオプションの権限は、走査チェックのバイパスユーザー権利が99％の状況でデフォルトでオンになっているため、明示的に許可されていない場合にのみ重要です。別の言い方をすると、 "バイパス走査チェック"ユーザー権利（NTFSファイル/フォルダーのアクセス許可ではなく、グループポリシーで公開）を有効にすると、この特権が完全に取り除かれ、この特権がデフォルトでどこでも有効になります。注：この権限を明示的に拒否すると、その特定のインスタンスでトラバースチェックのバイパスユーザー権限が有効にならないかどうかはテストしていませんが、そうなる可能性があります）。

補足情報： "Bypass Traverse Checking"ユーザー権利を使用すると、サブフォルダーに受動的にトラバースすることができます。ただし、深さはいくつでも深く、直接アクセスできます（つまり、アクセス許可はそのファイル/フォルダーに設定されますが、必ずしも他のどこにも設定されているわけではありません）ファイルパス）。