נשאלתי לא פעם מהן ההרשאות שיש לתת (בסביבת Windows) על מנת שמשתמש יוכל לגשת (ואולי לכתוב) לתיקייה כלשהי אבל לא לאפשר לו את הגישה לתיקיית האב שלה.

בעבר, בימי Windows NT 4.0 (ז"ל ?) לא הייתה ברירה למנהל הרשת ובמקרה כזה הוא היה חייב להגדיר בתיקיית האב הרשאת List לכל הפחות על מנת שהמשתמש יוכל לגשת (ו/או לכתוב) לתיקיית משנה שלה. המשמעות הייתה שלאותו משתמש חייבת להיות גם הרשאה לראות את כל הקבצים והתיקיות האחרים הקיימים בתיקיית האב. ומה אם מטעמי אבטחת מידע אסור לאותו משתמש אפילו לראות את התוכן של תיקיית האב אלא רק לגשת לתיקיית המשנה ישירות?

החל מ-Windows 2000 מיקרוסופט הוסיפה הרשאה חדשה בדיוק למטרה הזו: הרשאת Traverse הרשאה זו מאפשרת למשתמש להגיע דרך תיקיה כלשהי ללא ההרשאה לראות את תוכנה, למשל: אם קיימת לי תיקיה בשם Root ותחתיה תיקיה בשם Sub1 ותיקיה נוספת בשם Sub2 ואני מעוניין שמשתמש בשם User1 יוכל לראות את התיקייה Sub1 אבל לא יוכל לראות אפילו את עצם העובדה שקיימת תיקייה בשם Sub2. לכן אם אני מגדיר לו הרשאה (כלשהי) על התיקייה Sub1 והרשאת Traverse על התיקייה Root אז המשתמש לא יוכל להגיע למיקום הבא:

\\Server\Root

אבל יוכל להגיע ולכתוב (אם יש לו הרשאה לכך) למיקום הבא:

\\Server\Root\Sub1

כמובן שלתיקייה Sub2 הוא לא יוכל לגשת בשום מצב.

השאר תגובה