-
Юбилейный DevConfX пройдет 21-22 июня в Москве. Как всегда — Вы решаете, кто попадет в программу секции Backend — голосуйте за интересные доклады
выставить из скрипта на ntfs права
- Автор темы sergadm
- Дата начала
Bocha
Guest
С точки зрения безопасности было бы круто, если можно было менять права из скрипта 
) Понятие хакера пропало бы, как класс. Взял права и поменял, всего делов - то )))
) Понятие хакера пропало бы, как класс. Взял права и поменял, всего делов - то )))bsv
Guest
Ну ... для некоторых извратов сгодилось бы ...
2 sergadm
ежли у IIS хватит на это прав, то ищите тулзу в NTRESKIT или типа того, чтобы из командной строки работала, и екзекутить ...
вот только подумать надо очень и очень ... прежде чем прорубывать такое "окно в европу"
такие права у веб-сервера - это чревато ...
Опиши задачу, может чего придумается ...
2 sergadm
ежли у IIS хватит на это прав, то ищите тулзу в NTRESKIT или типа того, чтобы из командной строки работала, и екзекутить ...
вот только подумать надо очень и очень ... прежде чем прорубывать такое "окно в европу"
такие права у веб-сервера - это чревато ...
Опиши задачу, может чего придумается ...
sergadm
Новичок
Bocha скрипты только я туда ложу. удалённо только htm можно ложить
BSV
проги такие не поападались.
для системы управления контентом необходимо из веб браузера ставить права доступа к www разделам.. Можно конечно из за пределов wwwroot грузить страницу, для отдельных страниц сносно (права в базе). Но если добавлять несколько тысяч страниц с ссылками друг на друга где ещё куча подпапок и картинок становится геморойно всё это разруливать.
а так Загрузил архив , распаковал, выставил права на папку в ntfs и если у анонимного пользователя нет прав на доступ к папке iis попросит имя и пароль. если такой юзер в домене есть он его пустит и без проблем.
BSV
проги такие не поападались.
для системы управления контентом необходимо из веб браузера ставить права доступа к www разделам.. Можно конечно из за пределов wwwroot грузить страницу, для отдельных страниц сносно (права в базе). Но если добавлять несколько тысяч страниц с ссылками друг на друга где ещё куча подпапок и картинок становится геморойно всё это разруливать.
а так Загрузил архив , распаковал, выставил права на папку в ntfs и если у анонимного пользователя нет прав на доступ к папке iis попросит имя и пароль. если такой юзер в домене есть он его пустит и без проблем.
Bocha
Guest
при чем тут кто туда кладет и что. Никогда не будет разрешено скрипту менять права доступа. Иначе само понятие системы безопасности пропадает как таковое. Ты бы лучше задачу чуток подробнее описал. Может ее можно решить предоставив соответствующие права, а не менять их туда-сюда. Мне кажется попытка менять туда-сюда права в своей сути неверна. Политика прав разрабатывается под конкретные задачи и не может изменяться каждые 5 мин
bsv
Guest
Для просмотра прав есть PERMS
А вот менять, не помню ...
А вот менять, не помню ...
sergadm
Новичок
bsv и что делать с цифиркой возвращаемой fileperms
bosha на корпоративный сайт неообходимо через веб интерфйес загрузить страницу или сотню страниц связанных линками (это без проблем) , и ограничить по выбору доступ юзерам к этим страницам. заранее проставить права невозможно, тк при загруке пользователем документации , прользователь сам должен иметь возмость проставлять кому можно смотреть (делать это за узеров нет никакой возможности, да и неохота). А в iis этого можно добиться только если права на уровне ntfs проставить либо держать всё за пределами wwwroot . или есть другие идеи?
bosha на корпоративный сайт неообходимо через веб интерфйес загрузить страницу или сотню страниц связанных линками (это без проблем) , и ограничить по выбору доступ юзерам к этим страницам. заранее проставить права невозможно, тк при загруке пользователем документации , прользователь сам должен иметь возмость проставлять кому можно смотреть (делать это за узеров нет никакой возможности, да и неохота). А в iis этого можно добиться только если права на уровне ntfs проставить либо держать всё за пределами wwwroot . или есть другие идеи?
Bocha
Guest
Ну и расскладывай по директориям, а директориям соответсвующие права. Это один вариант.
Второй вариант в базе прописать права для документов юзерам.
Второй вариант в базе прописать права для документов юзерам.
bsv
Guest
Раздать юзерам право "Change Permisions" для "их" папок, расшарить, и пусть парятся ...
Ну, это если они в локали
Ну, это если они в локали
Bocha
Guest
Тогда сисадмин запарится через 2 мин, а через 5 покончит жизнь самоубийством, а через 6 этот сервак ляжет навсегда, вместе со всей инфойАвтор оригинала: bsv
Раздать юзерам право "Change Permisions" для "их" папок, расшарить, и пусть парятся ...
Ну, это если они в локали
bsv
Guest
Запарится - только на этапе создания начальных папок (хотя и это можно автоматизировать, но вот как - не скажу, чел который такими вещами балуется сейчас в отпуске)Автор оригинала: Bocha
Тогда сисадмин запарится через 2 мин, а через 5 покончит жизнь самоубийством, а через 6 этот сервак ляжет навсегда, вместе со всей инфой
Bocha
Guest
вообще мы с тобой предлагаем почти одно и тоже, только я предлагаю дать соответствующие права папкам и раскладывать документы, а ты тоже только каждому юзеру дать возможность раздавать права в пределах своей папки. (если честно, то я сначала не вчитался в твое предложение, сорри)
Если, честно, то я в любом случае против возможности юзеров раздавать хоть какие-либо права. Это должен делать совсем даже не юзер. Создать автоматом папки для юзеров, это не сложно, но в любом случае мне кажется что sergadm уж очень заумное придумал. Задача должна решаться проще, без постоянного изменения прав доступа. Просто не зная четко задачи тяжко предложить приемлемое решение
Если, честно, то я в любом случае против возможности юзеров раздавать хоть какие-либо права. Это должен делать совсем даже не юзер. Создать автоматом папки для юзеров, это не сложно, но в любом случае мне кажется что sergadm уж очень заумное придумал. Задача должна решаться проще, без постоянного изменения прав доступа. Просто не зная четко задачи тяжко предложить приемлемое решение
sergadm
Новичок
ладно всем спасибо
права на Change Permisions давать как то не хорошо(такого понаставят), да и узера научить этому сложновато, да и вряд ли из 98 что то выйдет(а таких 300 машин они все меня потом задолбят с растановкой прав на документы).
bosaha второй вариант у меня в принципе и есть. раз других идей нет буду его добивать
по поводу связанных файлов у меня родилась другая идея: заменить сообщение о ненайденной странице на скрипт который получив её url проверит права по базе подставит искомую страницу из за пределов wwwroot , но придётся картинки в wwwroot хранить .картинку так не подставишь
права на Change Permisions давать как то не хорошо(такого понаставят), да и узера научить этому сложновато, да и вряд ли из 98 что то выйдет(а таких 300 машин они все меня потом задолбят с растановкой прав на документы).
bosaha второй вариант у меня в принципе и есть. раз других идей нет буду его добивать
по поводу связанных файлов у меня родилась другая идея: заменить сообщение о ненайденной странице на скрипт который получив её url проверит права по базе подставит искомую страницу из за пределов wwwroot , но придётся картинки в wwwroot хранить .картинку так не подставишь
bsv
Guest
в 2K есть команда CACLS
в NT не знаю, в моем рес-ките не нашел аналога, но может есть тоже ...
в NT не знаю, в моем рес-ките не нашел аналога, но может есть тоже ...
Bocha
Guest
эта команда лежит в \system32 стоит - ли скрипту давать право на пользование ей? Не думаю. Можно ее переложить в нужную директорию, но раздача прав, дело админа. Если юзвери начнут раздавать права, то анархия покажеться раем. Среднестатистический юзер должен работать на уровне можно-нельзя. А судя по месагам юзеров в данном случае много. Они такого наплодят, что разгребать тяжко будет
bsv
Guest
2 Bocha
Ну, это уже проблема скрипта, и чего он позволит пользователю. Чем меньше, тем лучше Если скрипт не имеет прав дальше www-root, то еще можно.
2 sergadm
Не забывай только, что защита от дурака помагает только от дурака неизобретательного.
Ну, это уже проблема скрипта, и чего он позволит пользователю. Чем меньше, тем лучше
Если скрипт не имеет прав дальше www-root, то еще можно.2 sergadm
Не забывай только, что защита от дурака помагает только от дурака неизобретательного.
Yukko
Новичок
а посмотри runas
RUNAS USAGE:
RUNAS [ [/noprofile | /profile] [/env] [/netonly] ]
/user:<UserName> program
RUNAS [ [/noprofile | /profile] [/env] [/netonly] ]
/smartcard [/user:<UserName>] program
Examples:
> runas /noprofile /user:mymachine\administrator cmd
> runas /profile /env /user:mydomain\admin "mmc %windir%\system32\dsa.msc"
> runas /env /user:[email protected] "notepad \"my file.txt\""
NOTE: Enter user's password only when prompted.
NOTE: USER@DOMAIN is not compatible with /netonly.
NOTE: /profile is not compatible with /netonly
Перенаправлением на него параль передашь... а потом разруливай свою анархию как хочешь ...
Сразу говорю, что я не пробовал и пробовать не собираюсь
RUNAS USAGE:
RUNAS [ [/noprofile | /profile] [/env] [/netonly] ]
/user:<UserName> program
RUNAS [ [/noprofile | /profile] [/env] [/netonly] ]
/smartcard [/user:<UserName>] program
Examples:
> runas /noprofile /user:mymachine\administrator cmd
> runas /profile /env /user:mydomain\admin "mmc %windir%\system32\dsa.msc"
> runas /env /user:[email protected] "notepad \"my file.txt\""
NOTE: Enter user's password only when prompted.
NOTE: USER@DOMAIN is not compatible with /netonly.
NOTE: /profile is not compatible with /netonly
Перенаправлением на него параль передашь...
а потом разруливай свою анархию как хочешь ...Сразу говорю, что я не пробовал и пробовать не собираюсь