Все о Samba » profile acls http://smb-conf.ru Wed, 17 Aug 2011 04:21:26 +0000 http://wordpress.org/?v=2.9.2 en hourly 1 profile acls (S) http://smb-conf.ru/profile-acls-s.html http://smb-conf.ru/profile-acls-s.html#comments Sat, 09 May 2009 11:26:23 +0000 admin1 http://smb-conf.ru/?p=743  
     Этот параметр (тип булево) был добавлен чтобы обойти проблему хранения пользовательских профилей Win2000/XP в ресурсах (шарах) Самбы. Новые версии сервис-паков Win2000/XP проверяют ACL на владельца ресурса и на возможность писать в локальную директорию профиля, когда она скопирована из ресурса Самбы. В случае когда компьютер НЕ в домене, информация о безопасности, скопированная на рабочую станцию не имеет смысла для пользователя, прошедшего аутентификацию (SID) и запись профиля не будет произведена.
     Установление этого параметра на ресурс, используемый для хранения профилей изменяет две вещи, касающиеся Windows ACL.
Во-первых, он меняет владельца и группу-владельца на BUILTIN\Administrators и на BUILTIN\Users соответсвенно (SIDs S-1-5-32-544, S-1-5-32-545).
Во-вторых, он добавляет запись “Полный доступ” к SID BUILTIN\Users для каждого возвращенного ACL. Это позволит пользователям рабочих станций Windows 2000 и XP иметь доступ к профилю.
 
Замечание:
     Если у Вас разрешен вход нескольких пользователей на одну рабочую станцию, тогда для избежания ситуации когда пользователи имеют доступ к чужим файлам Вы должны снять галочку “Обойти перекрестную проверку” (”Bypass traverse checking”) из дополнительных параметров пользовательских прав. Это позволит ограничить доступ к файлам профилей других пользователей, т.к. корневая директория с файлами профиля создается с кодом рабочей станции и имеет ограничивающий флаг ACL, дающий доступ только владельцу директории.
 
Значение по умолчанию :
profile acls = no
 
]]> http://smb-conf.ru/profile-acls-s.html/feed 1