synology.forum архив спільноти · 2005–2022
ai.synology.forum →
ГлавнаяФайловый Сервер › Отчет о доступе к папкам

Отчет о доступе к папкам

Shalalak · 16.02.2017

Добрый день!

 

Есть файловый ресурс на полке. Полка подключена к домену

На ней много подпапок, по разным отделам. К каким-то выдан доступ пользователям, к каким-то группам. Все работает.

 

Теперь требуется чем-то создать отчет по папкам и подпапкам - у каких пользователей куда есть разрешения.

Вида:

 

Папка 1

- группа А чтение/запись

- пользователь B чтение

---- папка 1.1

------- группа А чтение/запись

------- группа B чтение/запись

------- пользователь B чтение

Папка 2

- пользователь С чтение

 

ну и так далее.

 

Каким образом это можно организовать?

Пользователей много, папок тоже, просматривать каждую Инспектором разрешения - мартышкин труд...

Siroc-co · 16.02.2017
просматривать каждую Инспектором разрешения - мартышкин труд...

Только так... Да, кстати, и в том виде, в котором вы хотите отчёт составить - тот же мартышкин труд читать его. Мозг вывернешь.

Обычно отчёт составляют:

1. по юзерам, Юзер, и все места куда есть доступ. Как правило доступ должен даваться сетевой папке и всем подпапкам

2. По группам, все места куда может писать\читать группа и какие Юзеры в группе состоят.

3. Ресурс (папка\фал), все группы и\или отдельные Юзеры имеющие доступ к нему.

 

А иерархию папок следует организовывать исходя из прав доступа, чтоб можно было удобно группам присваивать права на целый сетевой ресурс, а не сидеть над вложенными подпапками и писать для каждого отдельного юзера куда ему можно а куда можно не ему, и куда им обоим нельзя...

Есть отдел "Реклама"? Вот и создайте папку и группу юзеров "Реклама" и дайте права Группе на доступ, и останется лишь добавить в эту группу юзеров.

Есть отдел "Бухгалтерия", создайте группу, суньте туда всех из отдела и разрешите доступ.

Есть "Руководство", всуньте в группу Руководство всех руководителей и дайте им доступ в "Реклама"\"Бухгалтерия" и куда там ещё надо.

И не надо создавать папку "Реклама", в ней делать подпапку "Бухгалтерия по рекламному отделу" А потом мудрить с правами на "Реклама" и "Бухгалтерия по рекламному отделу" смешивая мёд с говном. Мухи отдельно, котлеты отдельно. Каждому свои права, и никаких перекрёстных связей в виде отдельных прав на папки, подпапки, и не дай Бог папки третьего и далее уровней вложений.

 

 

P.S. Вот AD я не пользовался. А там вполне могут быть утилиты по созданию отчётов прав доступа.

Shalalak · 16.02.2017
Только так... Да, кстати, и в том виде, в котором вы хотите отчёт составить - тот же мартышкин труд читать его. Мозг вывернешь.

...

P.S. Вот AD я не пользовался. А там вполне могут быть утилиты по созданию отчётов прав доступа.

 

Да, проблема полностью решается с помощью PowerShell и MS Access за пару минут...

Но жаль что встроенного механизма нет.

AVI · 21.02.2017

А можете поделиться этим способом?

Shalalak · 27.03.2017
А можете поделиться этим способом?

Привет!

 

Прошу прощения что долго не отвечал. Если еще актуально то вот...

 

 

Разрешаем выполнение скриптов для PowerShell:

Запускаем PowerShell с правами администратора и выполняем команду

Set-ExecutionPolicy Unrestricted

 

Создаем на компьютере папку ACL

В папке создаем текстовый файл AccessRight с расширением ps1 со следующим содержанием:

 

$folder = "\\Ваша шара\Нужная директория" # Укажем тут путь к шаре. Работают только сетевые пути, т.е. путь типа L:\SharedDirectory работать не будет (хотя раньше работал)

$resc = gci -recurse $folder | where {$_.extension -like ""}

$out = foreach($r in $resc)

{

$s = get-acl $r.fullname

 

foreach($inherit in $s.Access)

{

$inherit | add-member -membertype noteproperty -name Path -value $r.fullname -passthru |

select Path, IdentityReference, filesystemrights

}

}

$out | Export-Csv -Encoding "Unicode" -Path "C:\ACL\Permissions.csv" -Delimiter ";"

 

 

 

Теперь запускаем из PowerShell наш скриптик

В PS просто пишем: C:\ACL\AccessRight

 

После того как скрипт отработает в директории ACL появится файл Permissions.csv

Его можно открыть с помощью Excel или Access (ну не прям-таки открыть, а вытряхнуть из него данные с помощью процедуры импорта конечно)

В Акцессе возможно придется использовать еще колдунство, то есть перед импортом файла в таблицу сменить в региональных установках разделитель целой и дробной части с запятой на точку. Потом вернуть все взад :)

Siroc-co · 27.03.2017

Недавно заметил, что в SS появился инструмент делающий отчет по юзерам и правам доступа для них. Может скоро и для папок в DSM сделают.

Shalalak · 28.03.2017
Недавно заметил, что в SS появился инструмент делающий отчет по юзерам и правам доступа для них. Может скоро и для папок в DSM сделают.

Может быть, но с возможностями акцесса тягаться сложно :)