Windows 7 utforskare suger, hur fixar man den?

[sodjan]

> Om du tex gjorts till medlem av en grupp som har utökade rättigheter så "syns" inte det heller.

Nej precis, men det handlar ju då om att ändra inställningar för *användaren*.
De läses vid inloggning, där är vi överens. Finns få system som dynamiskt ändrar
användarens rättigheter *efter* inloggning eller efter process har skapats.

> Pia har läsrättigheter i Tom, Dick, men inte Harry. I Mappen Harry finns filer som
> Pia nu skall ge åtkomst till. Du, som administratör, ger Pia rättigheter till Harry,

OK, men det är väl fortfarande en ändring i Pia's profil !?
Inte en ändring i rättigheterna på katalog/fil nivå ?

Det jag menar är att man ger Pia rättigheterna till *filerna* (Harry har inget
med det att göra, han bara råkar äga dom). Och det behöver inte heller vara
samma rättigheter (t.ex enbart läsning) som Harry har (vilket kanske är allt).

Eller, så missförstår jag dig. När du säger "ger Pia rättigheter till Harry" så är jag
inte säker på om du menar användaren ("user") "Harry" eller katalogen "Harry"...

Jag antog att det är rättigheterna på katalogen/filerna som du avsåg.
Eller lagras det tillsammans med användarens data (som läses vid login) ?
I så fall skulle det fungera som du beskriver. Men å andra sidan så är det ju
mycket smidigare att lagra det tillsammans med katalogerna/filer och läsa det
när det behövs (vid access). Jag utgick från att man gör så, kanske inte...

[TomasL]

Min erfarenhet är så här:

Ändras rättigheter på fil/katalog, slår det igenom direkt.
Ändras rättigheter på användare på lokal maskin slår det igenom direkt om maskinen inte sitter i en domän (av naturliga skäl)
Ändras rättigheter på användare i en domän måste användaren logga ut och in igen.

[sodjan]

Ja, det verkar rimligt. Möjligt att AndersG och jag missförstår varandra...

[jesse]

Det jag kan tycka är konstigt är att kräsna datoranvändare sitter framför Windows i huvudtaget. Bättre att försöka prova något annat där man kan ändra utseende och funktioner till något som man tycker är roligt att arbeta med.

Visst kan man göra det väldigt snyggt i Linux.... och det är en härlig känsla att använda.

Men om man ska producera, och inte använda en dag i veckan åt att mixtra med operativsystemet, så blir det Windows i alla fall. Har kört Linux OCH Windows parallellt i tre år nu... (Har aldrig kunnat lämna Windoes helt, då det alltid fanns ett antal problem som inte gick att lösa med Linux).

Men när jag nu har köpt två nya datorer så skiter jag i att ens installera Linux. Varför ha två system att underhålla när bara hälften av programmen / hårdvaran fungerar på det ena av dem, men allt fungerar på det andra?

Det är trist, men jag har inte tid med linux om jag ska hinna jobba också.

Det är en annan sak om man sitter och leker med sin hemmadator.... Men att sitta halva nätterna för att underhålla jobbdatorer är inte lika kul.

[AndersG]

Eller, så missförstår jag dig. När du säger "ger Pia rättigheter till Harry" så är jag
inte säker på om du menar användaren ("user") "Harry" eller katalogen "Harry"...

Jag menar att Pia sitter på en PC och är ansluten till en server. Hon har en nätverkssökväg till en volym där det finns en mapp som heter "Projekt". Hon har inte rättigheter till den mappen så hon ser ej denna.

Hom skall nu få rättigheter till den mappen. Administratören ger dessa rättigheter

Pia ser ej "Projekt" före hon loggat ut och in igen.

[TomasL]

Ok, då ger du PIA rättigheterna dvs ändrar hennes användarrättigheter inte katalogens rättigheter.
Naturligtvis måste hon då logga ut och sedan in.

Dock om du ändrar katalogens rättigheter, så borde det inte vara några problem.

[sodjan]

OK. Det beror ju på hur operations "Administratören ger dessa rättigheter" går till.

Som jag ser det så finns det två olika metoder.

1.
Mappen "projekt" ägs av en grupp (säg "developers").
Pia ges rättigheter till mappen genom att lägga till Pia till grupen "developers".
Detta kräver sannolikt ut/in loggning eftersom bl.a grupptillhörigheter läses vid login.

2.
Man ändrar "hårt" på mappen "projekt" så att både "Pia" och "developers" har tillgång till den.
Detta borde synas/fungera direkt eftersom det inte medför någon ändring i Pia's profil.

På samma sätt kunde det ha varit om t.ex "developers_1" hade tillgång men Pia
tillhör gruppen "developers_2". Om man då gav "developers_2" tillgång till mappen
så borde även det fungera direkt. Såklart så får alla som tillhör "developers_2" också
tillgång till mappen, men det är en annan sak...

Så som jag ser det så beror det hela på om det är Pia's egen profil (eller något annat som läses
vid login) som ändras, eller om det är inställningarna på katalogerna/filerna i sig som ändras.

[AndersG]

Ok, då ger du PIA rättigheterna dvs ändrar hennes användarrättigheter inte katalogens rättigheter.
Naturligtvis måste hon då logga ut och sedan in.

Som jag skrev tidigare, scenariot är att jag ger Pia (eller kanske en grupp) rättigheter till katalogen. Vad är det då som är naturligt med att hon måste logga ut och in? Det naturliga vore väl att hon omedelbart skulle se filerna jag gett rättighet till?

Anta att det är en grupp på 100 pers...

[TomasL]

Personligen tycker jag att det är rätt sätt att göra det på.

Om du vill att det skall slå igenom direkt, måste det väl vara enklare att ändra på filens/katalogens rättigheter direkt.

I Windows(NTFS) kan du ju ge enskilda namngivna användare och grupper rättigheter till filen/katalogen, i obegränsad mängd, så jag ser inte problemet.

Vill du ge PIA rättigheter, så lägg till henne i rättigheterna för filen/katalogen.
Vill du ge hennes grupp, så lägg till gruppen till rättigheterna för filen/gruppen.

[AndersG]

Personligen tycker jag att det är rätt sätt att göra det på.

Kanske för att du bara jobbat med system där det är så? Personligen tycker jag att system där rättigheter tillämpas dynamiskt, såväl i filsystem som kataloger är det smidigaste.

[Glenn]

Om du vill att det skall slå igenom direkt, måste det väl vara enklare att ändra på filens/katalogens rättigheter direkt.

..och om det inte är EN katalog utan 53 ?

I Windows(NTFS) kan du ju ge enskilda namngivna användare och grupper rättigheter till filen/katalogen, i obegränsad mängd, så jag ser inte problemet.

Ett annat problem är den dagen då pia slutar på sin avdelning och börjar på en annan, om man använder grupper så flyttar man ju bara henens grupptillhörigheter, men har nån varit inne och fulkladdat in henne manuellt som du föreslår så har hon fortfarande rättigheter där hon inte ska ha.

Om man har jobbat i större system med många användare inser man snabbt varför det är en mycket dålig idé.


..Dock är det ju inte bara windows som har dessa problemen, även om windows är ännu mer irriterande än de flesta andra.

[psynoise]

jesse:

Låter mer som att du vill göra något som är svårt i Linux eller att du har knepig hårdvara. Att underhålla t.ex Ubuntu efter installation ska inte vara nödvändigt. Vissa saker är väldigt enkla i Linux men svåra i Windows och naturligtvis tvärt om. Andra saker går inte att göra i Linux men i Windows och även här också tvärt om. Problemet gissa ligger ofta i att gamla Windows-användare vill göra saker som är svårt i Linux men väldigt enkelt i Windows. Till sist får man se till att köpa hårdvara som fungerar bra för det system man använder.

[sodjan]

OK. Så då är det så att NSS uppdaterar alla users (och processer som körs
under den usern?) "live" vid ändring i profilen. Jag har nog inte jobbat i något
system där ändringar i rättigheter i anv-profilen automatiskt uppdaterar
eventuella *aktiva* inloggningar (och processer som körs under den usern).

Jag ser flera tekniska utmaningar för att få det att fungera felfritt. Hur gör
man t.ex med en öppen fil om man plötsligt tar bort rättigheterna till den ?
Ska den stängas direkt ? Eller ska man vänta tills användaren loggar ur ?
Och om det senare, varför uppdatera rättingheterna dynamiskt alls ?
Om de första, hur garanterar man att datat inte blir korrupt om man
"rycker undan mattan" för användaren ?

Jag förstår dock att det kan upplevas sm praktiskt, det är inte det...

> ..och om det inte är EN katalog utan 53 ?

Dels beror det på hur de ligger. Har de en gensam "root" så ändrar man där.

Sen så ska man ju kanske redan från början ha skapat rellevanta grupper o.s.v
så att det blir en ändring (tilldelning av en grupp) för att ge rättigheter till
dessa 53 kataloger. Men det kräver lite planering i förväg.

> men har nån varit inne och fulkladdat in henne manuellt som du föreslår så
> har hon fortfarande rättigheter där hon inte ska ha.

Blir det mer än ett kommando för att plocka bort Pia's rettigheter överallt ?
Jag antar att deta hela hanteras med ACL'er på berörda objekt (kataloger/filer o.s.v).

[Glenn]

53 på olika ställen så dom inte kan ärva då.

Nyckeln är ju som sagt att tänka till innan och skapa grupper, jag vet inte hur många
gånger man har fått en enorm mängd extraarbete just för att man inte tänkte till innan.

> Blir det mer än ett kommando för att plocka bort Pia's rettigheter överallt ?
> Jag antar att deta hela hanteras med ACL'er på berörda objekt (kataloger/filer o.s.v).

Det klart det blir. Om Pia var med i gruppen "avdelning1" och den avdelningen hade rättigheter på många ställen i trädet,
och sen flyttas över till avdelning 2 så flyttar man ju normalt sett henne från gruppen "avdelning1" till "avdelning2" och
allt fungerar.

Men OM nån har fulkladdat in användare pia istället för gruppen på kataloger, bara för att man har ett OS som är puckat, ja
då kommer hon ju fortfarande ha rättigheter dit, utan att nån vet om det egentligen.

Man kan ju inte plocka bort rättigheter där man inte vet att rättigheterna finns.

[AndersG]

varför uppdatera rättingheterna dynamiskt alls ?

Helt enkelt för att slippa ringa runt till femtioelva användare och be dem logga ut...